COLUMN COLUMN

  • HOME
  • COLUMN
  • セキュリティインシデントに対応する「CSIRT」とは?SOCとの違い、必要な技術…

2024.1.31 /

セキュリティインシデントに対応する「CSIRT」とは?SOCとの違い、必要な技術と重要性など徹底解説!

目次

  1. CSIRTの概要と主な役割とは?
  2. SOCとCSIRTの違いとは?
  3. CSIRTを目指す方に求められるスキル
  4. CSIRT人材を育成して、企業で発生するセキュリティインシデントに柔軟に対応しよう!

企業を未知のセキュリティ攻撃から守ることも大切ですが、「セキュリティインシデント被害に遭遇した場合の迅速な対処」も必要です。

このような情報セキュリティに関連するインシデントへの対応を主な業務とする専門組織をComputer Security Incident Response Team、略して「CSIRT」と呼んでいます。

 

この記事では、「CSIRT」の概要と主な役割、SOCとの違い、CSIRTを目指す方に求められるスキルなどを総合的に解説しているので、ぜひ参考にしてみてください。

 

CSIRTの概要と主な役割とは?

CSIRT の重要な役割として「何らかのインシデント(事件・トラブル)が発生した際のセキュリティマネジメント」であり、事件発生時の窓口担当から痕跡の分析・調査・復旧に向けてのサポートまでを行います。

具体的な役割について、以下で紹介します。

 

 事後対応(インシデントレスポンス)

セキュリティインシデントが発生した際の「窓口業務」「分析調査」「インシデント対応」を行います。

被害を最小限に抑えて、システムの復旧を進めていくのです。

インシデント発生時、他のセキュリティ専門家や他部署を巻き込んで、適切な調整や危機管理を行う役割を「情報セキュリティマネジメント」と呼んでおり、CSIRTの中で最も主となる役割といえます。

 

 事前対応(インシデントレディネス)

インシデントが発生する前に、事前準備・対策を行う業務です。

メインとなる内容は「監視・検知・イベント分析」であり、監視システムを用いて不審なインシデントを早期検知して、適切な初動対応を行います。

 

 脆弱性の管理

システム内に残る「セキュリティホール」の発見と分析など「脆弱性」における管理全般をCSIRTが担う場合もあります。

第三者から受け取った「脆弱性」の情報、あるいはチームで発見した脆弱性情報を明らかにして、分析の上で、適切な関係者へと連絡するのです。これによって既知の脆弱性への速やかな対処を可能にし、開発時も事前に脆弱性へ対応できる等のメリットを発揮します。

 

 セキュリティ分野の啓発・教育

セキュリティに関連する部署に対する教育の他、知識共有・インシデントを前提とした実務的なトレーニングを実施して、体系的な知識を定着させることもCSIRTの役割です。

 

SOCとCSIRTの違いとは?

CSIRTと混同される用語として、「サイバー攻撃の検知・分析を行い、対策を講じる専門組織」であるSOC(Security Operation Center)があります。以下で、SOCとCSIRTの違いに触れて解説します。

 

 インシデント対応のタイミング

SOCが「インシデントの検知」に重点を置いているのに対して、CSIRTはインシデント発生後のレスポンスに重点を置いているという点で異なっています。

CSIRTでは、インシデントマネジメント全体を担当しており、インシデントレスポンスの他、脆弱性情報の収集・分析、社内外組織との情報共有・連携などが主な業務です。

 

 守るものと目的

SOCの目的は、ネットワーク・通信機器の監視や分析を行い、サイバー攻撃の兆候を検知して早期段階で見抜くことです。ネットワーク・システムを守る役割が強いと言えるでしょう。

CSIRTはセキュリティインシデントが発生した時の「対応」を主な目的としているのが特徴であり、企業の事業・取引先・ブランドなどを保守して、事業を継続させる意味合いが強いです。

 

 必ずしも別の組織とは限らない

SOCとCSIRTは必ずしも別組織になっているとは限りません。

セキュリティの各種問題に対応するために、一つの組織となっていることもあります。

その場合は、組織内で「SOCチーム」「CSIRTチーム」が分かれている場合が多いことを覚えておきましょう。

 

CSIRTを目指す方に求められるスキル

企業内で新たに「CSIRT」部門を立ち上げる上で、どのような人材がCSIRTに適しているのでしょうか?

以下で、具体的に紹介します。

 

 情報セキュリティ関連の情報収集力

あらゆるインシデントに迅速に対応するためには、事前に最新のセキュリティ情報を常にアップデートする必要があります。Twitterにてセキュリティリサーチャーが発信する情報から、自社システムが、フィッシング・脆弱性においで問題ないかを先回りで調査して、対応することが求められるのです。

 

 コミュニケーションスキル

インシデントによって被害を受けた場合に、「どの作業を行っている人か」「どの情報を伝えるべきか」を考慮して情報を伝達することがインシデント被害を最小限に留めるコツです。

問題を解決するために、CSIRTチーム内でも分担して作業を行う場合があります。

チーム内での役割を理解した上で、必要な情報を必要なタイミングで伝達する力も必要です。

 

定期的に情報発信を行える力

大きな問題があった場合の迅速な対応はもちろんですが、トレンドとなっているマルウェア付きメールに対して、「メール本文・添付ファイルの特徴を社内に周知する」行為も立派なCSIRT活動です。

近年のトレンドを敏感に感じ取りながら、企業内に発信を行っていく能力も求められます。

 

CSIRT人材を育成して、企業で発生するセキュリティインシデントに柔軟に対応しよう!

この記事では、CISRTの概要から具体的な役割、求められるスキルなどを総合的に解説してきました。

CSIRT部門を外部に委託することもできますが、組織内でセキュリティ人材を育成することが理想的です。

近年はCSIRT関連の知識・スキルをトレーニングで取得するサービスも増加しているため、活用しながら組織のセキュリティ対策を高めることも求められます。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから