セキュリティコンサルティングを担当しております、伏見修一です。
前回は「CSIRT の必要性と CSIRT の役割」を記事にしましたが、今回は「CSIRT の(再)構築に向けての考え方や進め方」についてご紹介します。
前回のブログ で、CSIRT の役割として3つの機能をご紹介しました。
この3つの機能に対し、4つの分類を組み合わせ、具体的な役割を表す事が可能です。
(参考:日本シーサート協議会「CSIRT 人材の定義と確保 Ver.1.5」)
左右にスクロールしてご覧ください。
| 機能/分類 | 情報共有 | 情報収集分析 | インシデント対応 | 自組織内教育 |
|---|---|---|---|---|
| インシデント 事後対応機能 |
社外 PoC ※ 社内 PoC ※ |
リサーチャー キュレーター |
コマンダー マネージャー ハンドラー インベスティゲーター トリアージ フォレンジック |
|
| インシデント 事前対応機能 |
社外 PoC 社内 PoC |
リサーチャー キュレーター |
||
| 品質向上機能 | リーガルアドバイザー ノーティフィケーション |
脆弱性診断 セルフアセスメント、アナリスト、戦略 |
教育、啓蒙 |
各役割の具体的な説明は以下の通りです。
左右にスクロールしてご覧ください。
| 役割名称 | 業務内容 |
|---|---|
| 社外 PoC | 自組織外との連絡 |
| 社内 PoC | 自組織内との連絡、各部門情報連携 |
| リーガルアドバイザー | コンプライアンス、法的対応 |
| ノーティフィケーション | 自組織内調整、連絡発信 |
| リサーチャー、キュレーター | インシデント・脆弱性情報収集、分析 |
| 脆弱性診断 | システム脆弱性診断 |
| セルフアセスメント、アナリスト、戦略 | リスクアセスメント、戦略的ロードマップ策定 |
| コマンダー | CSIRT 全体統括、意思決定、経営層との連携 |
| インシデントマネージャー | インシデント対応状況把握、対応履歴把握 |
| インシデントハンドラー | インシデント現場監督 |
| インベスティゲーター | インシデント調査、捜査、分析 |
| トリアージ | 優先順位決定 |
| フォレンジック | 証拠保全、追跡、分析、解析 |
| 教育、啓蒙 | リテラシー向上 |
前述の役割は、CSIRT 組織において必要な要素となりますが、まず自社体制で「担うべき役割」と「担う事が出来そうな役割」を整理する事が大切です。
「担うべき役割」とは、組織として責任を持つべき役割という観点で、インシデントに最前線で触れるコマンダー・ハンドラー・トリアージなどが挙げられ、「担う事が出来そうな役割」とは、既存体制組織で対応可能であるという観点で、PoC や教育などが挙げられます。
フォレンジックや脆弱性診断など専門性の高い役割については、アウトソースすることも選択肢の一つです。
第1回で記載したとおり、一般企業での CSIRT は、仮想組織になることが大半であり、フォレンジックや脆弱性診断など頻度の少ない役割に対し、育成の時間とコストをかけることは非効率なため、アウトソースすることが一般的です。
CSIRT は、コンピュータセキュリティという言葉から、情報システム部門が担当する。というイメージがありますが、インシデントは会社組織として対応すべき事案であり、状況によっては対外的な発表や法的な問題を考える必要がある場合、総務・人事・法務・広報など間接部門の協力も必要となりますし、事業部制やホールディング制を敷かれている企業の場合、それぞれの責任者も関与する必要があります。
これらを踏まえて、セキュリティインシデント発生後、調査・対策・報告といった流れに関与する可能性のあるメンバーをイメージしておきましょう。
ここでの「範囲」とは、対象者やロケーションの範囲と、取り扱う事象の範囲を指しています。
海外拠点を持つグローバル企業や全国に店舗や支店をチェーン展開している企業などの場合、どこまでを範囲とするかの検討が必要ですし、取り扱う事象としては「情報システム部門が管理するシステムと機器」などとし、範囲を明確化する必要があります。
今回、CSIRT 構築に向けての考え方と進め方について記事にしました。
既に CSIRT を構築したが、組織体制として機能していないと思い再構築を検討される場合も、改めて基本的な役割から見直すことをお勧めします。
当初の目的と現実を比べ組織構築を実現するために、IT システム構築の要件定義フェーズのようなイメージで進められると良いと思います。次回は、CSIRT 構築に関して、具体的な進め方と各種ドキュメントなどをご紹介したいと思います。
関連リンク |
