セキュリティ担当者が知っておきたい「CSIRT」とは？サイバー攻撃の脅威に備えよう！

時代の変化とともに、サイバー攻撃も年々、多様化し続けています。
企業側もサイバー攻撃が原因で発生する「情報漏洩」などによって、信頼度の失墜を招く恐れがあり、高いセキュリティレベルの維持は喫緊の課題と言えるでしょう。
この記事では、企業の情報システム部門、セキュリティ担当者が知っておきたい「CSIRT」について詳しく解説していきます。

 

CSIRTとは？

「CSIRT」とは、「Computer Security Incident Response Team」の頭文字の略であり、コンピュータ・インターネットなどで、保安上の問題や事故が起きてしまった際に対応する専門チームを指します。

常設されるチームなどではなく、緊急時に対応できる専門家で形成した臨時チームであり、日頃から起こるであろうトラブルに備えている企業もあります。CSIRTを組織せずに、類似の機能を情報システム部門で実施しているケースもあり、企業によって取り組み方は大きく異なるのです。

単に自社内のセキュリティ事故の発見・対応を行うだけではなく、他社のCSIRTと連携することで、事故の被害状況やシステムの脆弱性などの情報を収集することも大切な仕事となります。

 

SOCとの違い

SOCとは「Security Operation Center」の略であり、CSIRTから依頼されて、データ・ログをさらに詳しく調べる役割を果たします。それに対して、CSIRTは組織のセキュリティを司る司令塔です。

SOCは、CSIRTの指示に従いながら分析・調査を進めます。

ただし、あくまで言葉の定義のため、場合によってはそれぞれが互いの業務を担当するケースも珍しくありません。

明確に境界線がある訳でないことを、頭に入れておきましょう。

 

CSIRTの主な役割

CSIRTは、セキュリティインシデントが発生した際に自社・他のCSIRTと情報共有を行いながら、リスクを最小限に抑えられるようマネジメントを行います。

日本シーサート協会が公開している「CSIRTスターターキット」によると、一般的なCSIRTのサービス内容は「インシデント事後対応業務」「インシデント事前対応業務」「セキュリティ品質向上業務」の3つに大別されます。

以下で、3つのサービス内容を深掘りして見ていきましょう。

 

インシデント事後対応業務

端末の情報分析・サイバー攻撃に用いられたファイル解析等、問題発生後の被害軽減、復旧を目的とした業務です。インシデント検知、インシデントかどうかの判断と対応する問題の優先順位づけを行うトリアージ、対応、レポーティング、再発防止策の検討まで行います。

 

インシデント事前対応業務

インシデント回避、予防を主な目的として、流行しているウイルスなどセキュリティ関連情報の提供、脆弱性情報のハンドリング、セキュリティ監査・ツール管理、開発などを行います。

 

セキュリティ品質向上業務

リスク評価分析・従業員へのセキュリティ教育、インシデント発生リスク低減を目的とした「セキュリティ品質向上」を目的とする業務です。

 

CSIRTを社内に設置する流れ

社内にCSIRTを設置する場合には、大きく分けて以下の2つの手法が一般的です。

 

社内で構築する場合

自社でCSIRTを構築する場合には、まず経営層に対して「CSIRTがなぜ必要なのか」を理解してもらうことが必要です。CSIRTが持つ役割・具体的業務まで、詳しく伝えましょう。

経営層の合意が得られたら、自社のCSIRTの方向性を決定します。

さらに、どのようなCSIRTを設置するかを具体的に検討しましょう。

その後、CSIRTの業務を実際に担当するスタッフ、業務を統括するリーダーの選出を行います。

シミュレーションを実施して問題なければ、CSIRTの運用を始めましょう。

 

外部に委託する場合

CSIRTを外部に委託して設置する方法もあります。

特に社内セキュリティ人材が不足している場合には、アウトソースした方がスムーズにいく可能性が高いです。外部委託することで、契約直後からCSIRTによる高度な対応を進められます。

ただし、コストも掛かるため、費用対効果を確認しましょう。

その他、外部委託の場合は社内にCSIRTのノウハウを蓄積できないデメリットもあるため、全体を理解した上で外部委託が必要です。

 

CSIRT構築のための詳細ステップ

CSIRTの概要から役割などを知り、セキュリティ対応において不可欠であることを理解できたのではないでしょうか？最後にCSIRTをどのように構築していくかをステップ別で解説します。

 

CSIRT構築プロジェクト立ち上げ

「CSIRT構築プロジェクト」の立ち上げに際して、以下の項目を策定します。

・「目標」

・「プロジェクトの構成メンバー」

・「スケジューリング」

・「プロジェクト運営」

 

情報収集と現状把握・問題把握

初めに、組織が置かれている現状を調査します。

調査結果から、CSIRTを構築することによりどのようなことが達成できるのか、そしてCSIRT構築を行う上で障害となっていることは何であるかを抽出するのです。

 

具体的に収集すべき組織を表す情報の例を、以下に示します。

・守るべき情報資産と脅威の把握

・既存のインシデントレスポンス体制

・既存のセキュリティポリシーおよびセキュリティ関連文書

・参考情報

 

CSIRT 構築計画立案

抽出した問題を解決するCSIRTを構築するために、CSIRT構築計画を作成します。構築計画は、以下手順となるため頭に入れておきましょう。

(1)CSIRT基本構想の検討
構築を予定しているCSIRTの方向性を明確にして、達成する目的の基礎的な理解を得るための「CSIRT基本構想」の検討が必要になります。

(2)サービスの検討
構築するCSIRTが行うインシデントレスポンスの具体的内容を検討する

(3)社内体制の検討
CSIRTが社内で円滑に機能するような社内体制の検討を行う

(4)社外連携体制の検討
社外と連携した活動が必要となるケースがあるため、外部の連携についても検討を行う

(5)リソースの検討
どの程度の人員・時間を確保する必要があるかを考える。社内外体制の確立のために必要となるリソースを検討することが望ましいが、組織内でのリソース制限も考慮する

(6)理想像とのギャップ考察
「現状」「構築するCSIRT」「インシデントレスポンスの理想像」の比較を行って、CSIRT構築時の実施内容の洗い出しと、運用開始後のCSIRTの発展の構想もイメージできるようになる

(7)構築スケジュールの検討
社内にCSIRT必要性を認識してもらうためCSIRT構築計画説明資料の作成を行う

 

CSIRT 構築

作成したCSIRT構築計画を基に、以下の手順でCSIRTを構築していきます。

(1)経営層/意思決定層の承認とリソース確保
計画について、経営層/意思決定層からの承認を得るのと、CSIRT構築を行うための作業時間と人員を確保する。

(2)社内調整の実施
社内の関連部門と調整を行い、CSIRTが機能できる体制を整える。

(3)サービス対象への説明
CSIRT構築に関してサービス対象に説明を実施して、CSIRTに関する理解を得る。

(4)CSIRT体制整備
構築するCSIRT自体の体制整備を行います。

(5)必要文書の作成
CSIRT活動のための資料作成を行います。
CSIRT構築計画説明資料の内容を活用して、CSIRT内の文書とするのです。

 

主に以下のような文書が該当します。

・CSIRT内体制文書

・インシデントレスポンスフロー

・業務上の規則

・注意事項

・連絡先一覧

 

CSIRT運用前準備

あらゆる状況を想定したインシデントシナリオを作り、机上でCSIRT活動のシミュレーション実施を行います。

シミュレーション実施によって、構築したCSIRTの有効性を確認して、運用開始前に問題点を洗い出すことが可能です。

 

CSIRT 運用開始

ここまでの構築手順を経てCSIRTの運用を開始します。

 

(1)周知
サービス対象や社外へCSIRTの存在をアピールすることが必要です。
また、CSIRTの運用を開始するために、CSIRTの連絡先をサービス対象に周知徹底を行わなければなりません。
「公式サイトに表示させるニュースリリース」が代表例です。

(2)CSIRTのサービスをサービス対象へ提供
CSIRTのサービスをサービス対象へ提供することで、CSIRT運用がスタートします。

(3)社外連携体制の確立
「CSIRT構築計画立案」で検討が行われた社外体制の確立を行います。

 

再検討

運用を開始したCSIRTの組織的機能の再検討を実施します。

再検討は運用開始後に定期的に行い、品質向上・機能拡充に努めていく必要があるのです。

 

CSIRT導入に向けて外部サービス等も活用しよう！

この記事では、CSIRTの概要・主な役割からCSIRT構築のための詳細ステップについて解説しました。

自社でCSIRTを立ち上げて導入するためには、多くのステップを要します。

即効性を求める場合には、外部のCSIRTサービスを利用してセキュリティ対応レベルを強固に保つことも選択肢と言えるでしょう。