関連するソリューション
サイバーセキュリティ
ID-Ashura/セキュリティサービス
そこで近年、「CSIRT」が注目されています。しかし、企業の情報セキュリティ担当者の中には「CSIRTを設置したいがどうすればよいのだろう」「まずはCSIRTについての知識をつけたい」という方も多いのではないでしょうか。
本記事では、CSIRTとは何なのか、組織内での役割や設置する際の流れなどについて解説します。
CSIRTとは
CSIRTとは「Computer Security Incident Response Team」の略称で、ITやICTにおけるセキュリティインシデント発生時に、迅速かつ効率的に対応するチームのことです。近年、業務環境はDX(デジタルトランスフォーメーション)の推進もともなって、多くの企業がデジタルデータを扱っています。それに伴い、サイバー攻撃も増え、その手法も巧妙になっているため、デジタル化された業務環境を防御するためのセキュリティ施策が必須となりました。
しかし、サイバー攻撃を防ぐ対策だけでは脅威への対応が間に合いません。防御だけでは、業務環境を守りきれない可能性が高いのです。攻撃を事前に防ぐ対策と同時に、攻撃を受けた後の対策をしておくことが重要視されています。つまり、「セキュリティインシデントは起こるもの」という前提で対策を講じなければならないということです。そこで必要なのがCSIRTです。
CSIRTは、情報システムのセキュリティ対策として専門のスタッフで編成され、チームでインシデントに対応します。
例えば、サイバー攻撃を受けた際の、連絡窓口の役割や現状と原因の確認、被害に対する初動対応や社外への報告など、さまざまな役割を果たします。
SOCとCSIRTの違い
セキュリティ対策を専門に行うチームは、SOCとCSIRTに分かれます。双方の役割の違いを簡単に説明すると、サイバー攻撃を受けないように防御するのがSOC、サイバー攻撃を受けた際の一連の対応を担当するのがCSIRTです。SOCとは「Security Operation Center」の略称です。主に、企業内のネットワーク機器やアプリケーション、IT機器に対して、ファイアウォールの構築やログの取得、サイバー攻撃の前兆を早期発見して防御する役割を担っています。また、セキュリティインシデントの発生を未然に防ぐことも役割の一つです。
一方CSIRTは、セキュリティインシデントが発生している時に、社内外に対してさまざまな対応をすることが主な役割となります。
CSIRTを設置しない場合のリスク
CSIRTを設置しない場合、どのようなリスクが想定されるのでしょうか。セキュリティインシデントが発生した時、対応までの時間がかかる可能性があります。対応が遅れるほど、被害が増大するでしょう。社内で発生したインシデントの情報をまとめ、整理する場所がありませんので、被害拡大を止めることが困難です。
セキュリティインシデントに対する迅速な対応ができない影響は、機密情報や重要なデータなどの情報漏えい、データが破壊されるなどのリスクにつながります。インシデントに対して迅速な対応ができず、情報漏えいやデータの損失といった被害が出た場合、顧客や取引先などの信頼を喪失する可能性もあります。
また、情報漏えいやデータの損失は信頼を損なうだけではなく、場合によっては法的な問題やコンプライアンスに抵触するなどの危険性もあるのです。
サイバー攻撃によってシステムやネットワークに被害が出れば、業務の継続が困難になったり、事業停止により損失が出たりすることも考えられます。
このように、セキュリティインシデントに対応するためのCSIRTを設置しない場合、社内外に大きな損失を与えるリスクがあるのです。
CSIRTの具体的な役割
セキュリティインシデント発生時に対応するのがCSIRTです。ここでは、具体的な役割をみていきましょう。
役割1:セキュリティインシデント発生時の窓口対応
CSIRTは、セキュリティインシデント発生時の連絡窓口として機能します。例えば、社内のパソコンがウイルスに感染した場合、従業員はすぐにCSIRTに連絡するといった運用ルールなどが設けられるでしょう。
窓口を統一することで、「今、どこで、何が起こっているのか」といった情報を1カ所に集めることができるようになり、従業員も、どこに連絡をすればよいかが明確になるため、迅速な対応が可能になります。
役割2:発生したセキュリティインシデントに関する調査・分析
セキュリティインシデントに関する情報をCSIRTに集め、情報管理を行います。情報を1カ所に集めることで、インシデントに関する調査や分析を迅速に進められます。原因を突き止められれば、まずは何をすべきかを決定しやすくなるでしょう。つまり、セキュリティインシデントに対する正確な初動対応ができるようになるということです。
役割3:セキュリティインシデントへの初動対応
CSIRTは、セキュリティインシデントへの初動対応を行います。集まった情報から原因を割り出し、社内のコンピューターやネットワークに対して適切な対処を行うのです。従業員に対しても「何をすべきか」を周知し、行動を制御します。
インシデントが発生している最中に、迅速で効率的な対処をし、収束させるのです。システムやネットワークなど、停止しているものや不具合が起こっているものは復旧させるなど、正確な初動対応を行うことで、被害を最小限に食い止めます。
役割4:社外への広報業務
CSIRTの役割は、社内だけにとどまりません。必要であれば、取引先や顧客、警察や監督官庁、マスコミなどへの広報業務も行います。
例えば、サイバー攻撃によって顧客名簿が外部に漏えいしてしまった場合などは、何がどのくらいの規模で、どう漏れたのかを正確に把握し、各種関係先に被害状況や対応状況、その他の影響などを報告します。
役割5:再発防止策の策定
セキュリティインシデント発生から原因究明、分析、対応、復旧などは、ノウハウとして蓄積します。これらのデータから、再発防止策の策定を行うこともCSIRTの役割です。再発防止策を実施して、事後対応を行います。
役割6:従業員教育と社内への注意喚起
セキュリティインシデントへの対応と、再発防止対策が完了したら、教育や注意喚起を行うことも役割の一つです。
今回のインシデントは何であったのか、その発生原因や復旧までの概要などを従業員に報告・教育します。全社に教育を行った上で、今後の再発防止の意味も込めて注意喚起を行います。
CSIRT設置までの流れ
近年の業務環境には、サイバー攻撃などのセキュリティインシデントの発生を見越したCSIRTの設置が必須です。ここでは、自社などの組織内でCSIRTを設置するまでの大まかな流れについてみていきましょう。
1.経営層の理解を得る
CSIRTを設置する際には、経営層の理解を得ることが必須だといえます。
CSIRTの活動範囲は社内だけでなく、社外にも及ぶこともあるためです。また、社内への指示や、社外への広報活動に関する決定など、経営層が行わなければならないこともあります。CSIRTを設置する際には、メンバー(リソース)を割かなければならないため、コスト面の了承も必要でしょう。
CSIRTは、経営層がその必要性を理解することで機能するといっても過言ではありません。
2.組織内の現状を把握する
社内や組織内において、現在どのようなセキュリティ対応がなされているのかを把握する必要があります。
例えば、インシデントが発生した場合の業務フローや社内規定、各部署で誰がセキュリティに対応しているのか、あるいは責任者が誰なのかなどです。まずは、組織内の現在の状態を把握しましょう。
3.CSIRT設置の目的を明確化する
CSIRTをどのような目的で設置するのかを明確にします。CSIRTにはさまざまな活動がありますが、その中のどれを最優先にするのかを明確にしておくことが大切です。
CSIRTの主な活動には、「被害の最小化」「被害の迅速な復旧活動」「被害における影響範囲の広報業務」などが挙げられます。
例えば、顧客のクレジットカード情報や詳細な個人情報などを扱っている場合は、その被害状況を整理・分析して、どのような対処をするのかといった、分析と広報業務にも力を入れなければなりません。社内に閉じたシステムの被害であれば、被害の復旧活動を最優先にするといった目的になるでしょう。
4.どのような構成の組織にするかを決定する
CSIRTの構成に決まりはないため、自社に合った構成を検討する必要があります。
構成単位は、例えば独立した部署や、各部署から担当部員を集めて部署を横断した構成にするなどさまざまです。CSIRT設置の目的が明確であれば、その活動内容も明らかになります。
活動内容に応じて適したメンバーを選定し、リーダーなどを決定して組織化します。組織の規模や自社の業務内容によって、組織構成を決定するとよいでしょう。
5.必要なリソース・予算の確保
CSIRTを構成して運営するためには、リソースと予算が必要です。
例えば、チームメンバーのリソースはもちろん、パソコンやネットワーク・サーバーなどのインフラ環境、CSIRTメンバー専用のメールアドレスなどの連絡手段、必要であれば専用の部屋を用意して、デスクや椅子などの備品を揃えなければなりません。
このように、人やモノのリソースと、人件費や設備のコストを確保する必要があります。
6.ポリシーや手順の整備
CSIRTが活動する上で必要なポリシーの決定や手順の策定を整備します。
例えば、セキュリティインシデントが発生した場合に、どのようなポリシーで動き、どのような手順で初動から復旧などの対応完了までを行うのかを決定しましょう。また、日常的にセキュリティに関する情報を収集したり、社内の窓口として対応する際の手順を設けたりしておくなどの準備も大切です。
7.CSIRTのメンバーへ教育を行う
ポリシーや手順を、CSIRTのメンバーへ教育します。各ポリシーや手順を学ぶことはもちろん、情報セキュリティに関する理解を深める教育も必要です。
また、セキュリティインシデント発生時の対応訓練も行っておく必要があります。そのため、模擬のインシデントにて定期的に対応訓練を行うとよいでしょう。
8.活動の開始を告知する
CSIRTが設置されたことや活動内容を自社組織内に告知します。自社でCSIRTが活動していることを全社従業員が認知していなければ、CSIRTが機能しないからです。セキュリティインシデントに関して何かあればCSIRTに連絡することなど、一定のルールを徹底周知しましょう。
CSIRTを設置する際のポイント
CSIRTを設置するには、まずは経営層の理解を得ることが大切です。また、社内のセキュリティについての調査は、自社にマッチした構成でのCSIRT設置に欠かせません。もちろん、サイバーセキュリティの知識に明るい従業員や、CSIRTの活動内容を理解しているメンバーを集める、あるいは教育する必要もあります。
CSIRTは、できるだけ早い段階で設置しておくことが望ましいといえます。しかし、自社の担当者だけで一からCSIRTを構築するには多くの知識や交渉力、統括スキルなどが必要です。もし、CSIRTの設置に時間がかかってしまう場合などは、専門の事業者にコンサルティングなどを依頼することも一つの手段としておすすめです。
コンサルタントに協力依頼することも一つの手段
CSIRTはセキュリティインシデントに迅速に対応するチームであり、ビジネス環境のサイバー攻撃に対抗する重要な役割を果たします。セキュリティインシデントは組織や関係者に深刻な損害を与える可能性があるため、組織のセキュリティ強化においてCSIRTの設置は不可欠な要素となっています。
ただし、CSIRTの設置は最適な対応体制を築くことが大切です。自社内だけでCSIRTを設置するのが難しいという場合には、プロのセキュリティコンサルタントに協力してもらうことも一つの手段ですので、積極的にコンサルティングサービスを活用してみましょう。
弊社では、情報セキュリティに関する長年の知識とノウハウを生かして、CSIRT設置に関するコンサルティングも行っています。CSIRT設置の初動がわからない、具体的にどのように進めるべきか悩んでいるなどありましたら、お気軽にご相談ください。
お問い合わせ>
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
