SBTのスベテ

自社に最適な CSIRT の在り方とは 第3回(全3回)

伏見 修一

セキュリティコンサルティングを担当しております、伏見修一です。
前回 は「CSIRT の(再)構築に向けての考え方や進め方」として、CSIRT のモデルを理解し、個々の役割・業務内容に対し、自社組織に当てはめて自社で担う範囲とアウトソースする範囲の目星を付けて、CSIRT で取り扱う範囲を定義する。という流れをご説明しました。
今回は、全3回の最終回「具体的な進め方と各種ドキュメントなど」についてご紹介します。


CSIRT 構築の具体的な進め方

まずは会社組織として、CSIRT の意義を明示化し、組織全体の理解を深める為、経営層からの承認を得る事が必要です。そのために、CSIRT の基本方針などを定めた、CSIRT 設計書を作成します。
その後、社内・社外向けの PoC(連絡窓口)の設置と周知を行い、最後に、必要なドキュメント類を整備し、定期的な訓練を予定する。という流れで進めます。


CSIRT 設計書について

組織においての CSIRT の基本方針や在り方などを記載し、自社 CSIRT がどのような意図・目的であるかを明確にするための文書になります。
具体的には、

  • CSIRT 基本構想(対象範囲や取り扱うインシデント、目標や運営方針など)
  • CSIRT サービス(受付窓口、判断、暫定対策、恒久対策など何を提供するか)
  • CSIRT の役割と体制(CSIRT を構成する体制と、連携すべき組織との関係性など)

などを記載し、CSIRT 組織を明文化します。

CSIRT が扱う対象範囲としては、企業規模や事業形態により異なりますが、関連グループ企業や海外法人の扱い等の観点も必要ですし、IT サービスの提供形態によっては取引企業先のインシデントの扱い等の観点も検討し、CSIRT 組織としての範囲を明確にしておく必要があります。
また、取り扱うインシデントは、細かい事象単位ではなく、「不正アクセス」「情報漏洩」「マルウェア感染」などの粒度に留めておきましょう。


社内・社外向けの PoC(連絡窓口)の設置と周知

インシデントは、人やシステムにより「検知」され、その後「通報」されることで、初めてインシデントとして認識することが出来ます。
社内の人やシステムが「検知・通報」することもありますし、社外の人やシステムが「検知・通報」してくれる場合もあります。そのために、社内・社外向けの PoC(連絡窓口)の設置と、窓口としての代表電話番号やメールアドレスなど周知を行う事が必要となります。
意外に、社外からの「検知・通報」も多いため、公開 Web サイトなどに記載する事をお勧めします。


インシデントハンドリングマニュアル

インシデントハンドリングマニュアルは、インシデント全般に対し、検知から解決までの一連処理について記載する文書になります。具体的には、

  • 共通ハンドリングフロー
  • インシデント別ハンドリングフローおよびマニュアル

に分類され、インシデント発生時の行動をフロー化しておきます。

共通ハンドリングフローは、以下のように事象内容に関係なく基本的な行動を記載します。
自社組織に合わせ、個人ではなく対応する部署や役割を記載し、フロー化します。

インシデントハンドリングマニュアル

※ インシデント発生時の基本的ハンドリングフロー図 【引用】JPCER/CC インシデントハンドリングマニュアル

インシデント別ハンドリングフローおよびマニュアルは、CSIRT 設計書に記載した、CSIRT で取り扱うインシデントに対し、初動対応と暫定対策に関するフローとマニュアルとなります。

例えば、「社内システム」により「マルウェア感染」が通報された場合、初動対応として、

  • 被害対象 PC の確認およびネットワーク隔離
  • 影響範囲の調査
  • 二次被害対象の隔離(影響拡大の場合)
  • 被害対象 PC の分析および利用者へのヒアリング
  • 他システム(FireWall 等)での被害拡大抑制

などを行い、暫定対策として、

  • 被害対象 PC の再セットアップ

などを行うためにフローおよびマニュアルを作成します。
インシデントの詳細なパターン化は難しく、1つ1つの作業手順書を作成しても網羅出来ない為、上記のような流れを記載し、それらをどの部署・役割に依頼するか、まで明確化しておけば十分です。


定期的な訓練

最近では、自然災害に対しても「準備や心構え」が重要であると言われていますが、セキュリティインシデントも同様です。
体制やマニュアルを準備していても、いざ有事の際に行動出来るかは、訓練による心構えが大切だと思います。実際にインシデントを発生させる事は難しいでしょうが、定期的に行う避難訓練のように、卓上でも良いので、関係者でフローを流し、ツールの動作確認を行うことをお勧めします。


さいごに

全3回にわたり、「CSIRT 構築」について記事にしました。
多くの企業様からご相談を受ける中、個人的な意見としては「形式に捕らわれず現実に合った CSIRT」づくりから始める事が成功への近道だと感じています。最初から完璧な理想を目指しても資源は有限ですし、そもそもインシデントの発生確率さえ誰にも分りません。目先の問題で立ち止まっている間にもインシデント発生の可能性は有ります。まずは、一歩目を踏み出すために、ブログの記事がお役に立てば幸いです。


関連リンク

自社に最適な CSIRT の在り方とは 第1回(全3回)
自社に最適な CSIRT の在り方とは 第2回(全3回)


【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録