セキュリティコンサルティングを担当しております、伏見修一です。
前回 は「CSIRT の(再)構築に向けての考え方や進め方」として、CSIRT のモデルを理解し、個々の役割・業務内容に対し、自社組織に当てはめて自社で担う範囲とアウトソースする範囲の目星を付けて、CSIRT で取り扱う範囲を定義する。という流れをご説明しました。
今回は、全3回の最終回「具体的な進め方と各種ドキュメントなど」についてご紹介します。
まずは会社組織として、CSIRT の意義を明示化し、組織全体の理解を深める為、経営層からの承認を得る事が必要です。そのために、CSIRT の基本方針などを定めた、CSIRT 設計書を作成します。
その後、社内・社外向けの PoC(連絡窓口)の設置と周知を行い、最後に、必要なドキュメント類を整備し、定期的な訓練を予定する。という流れで進めます。
組織においての CSIRT の基本方針や在り方などを記載し、自社 CSIRT がどのような意図・目的であるかを明確にするための文書になります。
具体的には、
インシデントは、人やシステムにより「検知」され、その後「通報」されることで、初めてインシデントとして認識することが出来ます。
社内の人やシステムが「検知・通報」することもありますし、社外の人やシステムが「検知・通報」してくれる場合もあります。そのために、社内・社外向けの PoC(連絡窓口)の設置と、窓口としての代表電話番号やメールアドレスなど周知を行う事が必要となります。
意外に、社外からの「検知・通報」も多いため、公開 Web サイトなどに記載する事をお勧めします。
インシデントハンドリングマニュアルは、インシデント全般に対し、検知から解決までの一連処理について記載する文書になります。具体的には、
※ インシデント発生時の基本的ハンドリングフロー図 【引用】JPCER/CC インシデントハンドリングマニュアル
インシデント別ハンドリングフローおよびマニュアルは、CSIRT 設計書に記載した、CSIRT で取り扱うインシデントに対し、初動対応と暫定対策に関するフローとマニュアルとなります。
例えば、「社内システム」により「マルウェア感染」が通報された場合、初動対応として、
最近では、自然災害に対しても「準備や心構え」が重要であると言われていますが、セキュリティインシデントも同様です。
体制やマニュアルを準備していても、いざ有事の際に行動出来るかは、訓練による心構えが大切だと思います。実際にインシデントを発生させる事は難しいでしょうが、定期的に行う避難訓練のように、卓上でも良いので、関係者でフローを流し、ツールの動作確認を行うことをお勧めします。
全3回にわたり、「CSIRT 構築」について記事にしました。
多くの企業様からご相談を受ける中、個人的な意見としては「形式に捕らわれず現実に合った CSIRT」づくりから始める事が成功への近道だと感じています。最初から完璧な理想を目指しても資源は有限ですし、そもそもインシデントの発生確率さえ誰にも分りません。目先の問題で立ち止まっている間にもインシデント発生の可能性は有ります。まずは、一歩目を踏み出すために、ブログの記事がお役に立てば幸いです。
関連リンク |
