情報セキュリティにおける脅威は年を追うことに複雑化しており、手口も巧妙化しています。これに伴い、既存のIDS・IPSやファイアウォールなどの不正侵入を事前に防ぐためのシステムを装備するだけでは企業情報システムを完璧に守ることは難しいとも言われるようになりました。
情報セキュリティに関するインシデントの発生時の迅速な措置と的確な対応を行うための新たな対策として、企業内に近年CSIRT(シーサート)と呼ばれる組織を設置する動きが広がっています。今回は、CSIRTの導入を検討する企業様に向け、CSIRTを設置するメリットやCSIRTを導入する前に確認すべきポイントについて解説します。
目次
CSIRTとは?SOCとの違いについて
CSIRTはComputer Security Incident Response Team(コンピューター・セキュリティ・インシデント・レスポンス・チーム)の略で、組織に対してインシデント事前対応や事後対応サービスを提供したり組織のセキュリティの品質を高める活動を行う組織のことを指します。元々は米国でセキュリティ対策における情報共有の重要性が高まり、多くの企業で導入が始まりましたが、近年は日本国内でも注目されるようになっています。CSIRTは、主に最高情報セキュリティ責任者と呼ばれるCISO(Chief Information Security Officer)と、インシデント発生時に影響が及ぶ部門との業務調整などを行う技術担当に分かれています。
また、CSIRTと同じセキュリティ対応を専門に行う組織としてSOCと呼ばれるものもあり、しばしば混同されますが、CSIRTがインシデント発生時の対応に重点を置くのに対し、SOCはインシデント発生前の検知に重点を置くという大きな擬態があります。具体的な役割は以下の通りです。
- CSIRT・・・基本的にインシデント発生時の対応に重点を置き、インシデント発生時にその原因を速やかに解析し、影響の範囲を明確にすることで被害の最小化を目指す。
- SOC・・・インシデント発生前の検知に重点を置き、施策立案から実行までを網羅する。
CSIRTの種類・体系
CSIRTの種類やCSIRT内の組織は以下のように分類することが出来ます。
国際連携CSIRT (National CSIRT)
国際連携CSIRTは、名前の通り、国内国外の窓口として各国との情報交換や国際連携を行いながら、担当する国や地域に関わる国レベルのコンピューターセキュリティのインシデントに対応するチームです。National CSIRTの例として、日本国内にはJPCERT / CC(JPCERT コーディネーションセンター)などがあり、他のCSIRTや各種コミュニティ、政府機関や企業との連携を図りながら、インシデントに対応しています。
特に、インシデント対応の過程で当事者が国外にいる場合、連絡先が不明などの理由からスムーズな解決に繋がらないこともありますが、その際には国際連携CSIRTに連絡することで、効果的な対応をすることが可能となります。
組織内CSIRT(Internal CSIRT)
組織内CSIRTは企業などに属し、自らの組織や顧客に対して起こったインシデントに対応しています。組織が保有するシステム、ネットワーク、設備、サプライチェーンなどを対象としています。
ベンダーチーム(Vendor Team)
ベンダーチームは、主にセキュリティに関するサービスを提供するベンダー内に設置されたCSIRTのことを指します。製品の脆弱性について報告を受けるための専用の窓口を設け、情報収集の結果脆弱性に関する情報が入った場合、社内で速やかに共有してどのような対処を行うべきか検討します。インシデントを防ぐための更新プログラムの作成や顧客への注意喚起なども担当します。
コーディネーション・センター(Coordination Center)
コーディネーション・センターは、インシデント発生の報告を受け、適切な処置を行うチームのことを指します。複数の組織のCSIRTからインシデントに関する情報を収集し、それぞれの情報をもとに適切な対処を行うことができるよう調整を進めます。
分析センター(Analysis Center)
分析センターは、インシデントの脅威や脆弱性に関する最新の情報を調査し、インシデントの発生を防ぐためのヒントを探す組織です。サイバー攻撃や不正プログラムについての最新の研究も常にチェックし、大きな被害に繋がるインシデントの発生が懸念される場合には注意喚起を行います。
インシデント・レスポンス・プロバイダー(Incident Response Provider)
外部の組織のインシデントに対処するチームで、CSIRTの設置を困難とする企業が、外部組織に対応を依頼する際の依頼先をインシデント・レスポンス・プロバイダーと呼びます。セキュリティベンダーやセキュリティ事業者が、顧客企業に代わってCSIRTの役割を果たします。
CSIRT導入の際のメリットと導入のポイント
CSIRT導入のメリット
CSIRTを導入することで、より効率的にインシデントに対応することが可能となります。また、インシデントの対応窓口や情報管理などの業務をCSIRTがまとめて行うことで、インシデントに関する情報を着実に把握・対処できるといったメリットが期待できます。
CSIRT導入のポイント
以下、CSIRTの導入を検討している企業が導入前に確認したい5つのポイントについて解説します。
① CSIRT導入の目的を明確にする
まずは組織の現状を把握し、CSIRTがなぜ必要なのかについて良く考えましょう。そしてCSIRT導入により達成したい目的、CSIRTの導入の方向性を決定します。これらを明確にすることで、今後CSIRTの人材を採用する際や運営を進める上で軸が定まり、CSIRT設置による効果を高められることが期待出来ます。まずはCSIRTを設置することで自社にどのようなメリットが期待できるか、またどのようなデメリットが考えうるかを洗い出しましょう。
② インシデントを定義づける
CSIRTを設置する上で、CSIRTが扱うインシデントを定義づける必要があります。何をインシデントとして扱い、監視や情報収集をどのように進めるか、インシデントによる損害や影響をCSIRTがどこまで対処するのかを事前に決めるようにしましょう。
③ CSIRTの具体的な活動範囲や果たすべき役割を明確にする
CSIRTは一般的にはセキュリティ全般を担当する組織ではありますが、業務内容が広すぎることでCSIRTのチームや担当者の負担が重くなる恐れがあります。導入する目的や予算等に合わせ、活動範囲や業務範囲を定めましょう。
④ 最適な人材を見つける
CSIRTに必要な人材としては、フルレイヤ・フルスタックの経験や知見がある人材やコミュニケーション能力が高い人材がよく挙げられます。どと言われることも多い印象ですが、その他にもCSIRT内の人材が持っているべきスキルは多々あります。Software Engineering Instituteは、以下のようなスキルをCSIRT人材が持つべきスキルとして挙げています(一部抜粋)。
- セキュリティ技術者としての、フルスタックやフルレイヤの経験や知見
- インシデント対処スキル
- プレゼンテーションスキル
- 高いチームワークスキル
- 交渉能力
- ストレス耐性
- 問題解決能力
- タイムマネジメントスキル
- プロジェクトマネジメント能力
全てのメンバーにこのような条件のすべてを求めるのは現実的には困難ですが、まずは最小限の人員で運用を開始し、以下でご紹介するアウトソーシングで、コストの集約効果が高い監視業務や専門性の高いコンピューターフォレンジック調査を行う人員を確保するという手もあります。
⑤ アウトソーシングも検討する
特にセキュリティ人材が不足している日本では、CSIRTのための人材確保も容易ではありません。そこで、前述のように特定の人材や機能をアウトソースしてしまうという手もあります。CSIRTの一部をアウトソースするメリットとして、単なる採用のコスト削減や人材不足の解消という面に加えて、、数多くのサービス提供経験から豊富な知識と経験、ノウハウを蓄えているベンダーを利用することで、対応が難しい高度なサービスを利用できるという点も挙げられます。これらをうまくアウトソースして専門的な知見を取り入れることで、導入直後からCSIRTを正しく機能させることができ、業務範囲の拡大やCSIRTにもつながる可能性が高まります。
CSIRTとは|まとめ
以上解説したように、CSIRTの業務自体は基本的にはシンプルではあるものの、未だ情報が限られていることもあり、組織に導入する際の具体的な業務範囲の決定や人材採用に関してお悩みの企業様も多いことかと思います。Computer Futuresでは、日本でも最大級のIT領域に特化したチームを持ち、サイバーセキュリティ領域の採用サポートを専門に担当するチームを設けています。
サイバーセキュリティ分野でのスキルや経験を持つ人材の確保をご検討でしたら、正社員およびコントラクトの双方の人材ソリューションから、皆様のニーズに最適なご提案と人材のご紹介をいたします。ご興味がございましたら、ページ下部のお問い合わせフォームよりぜひ当社の専門コンサルタントにご相談くださいませ。
