CSIRT(Computer Security Incident Response Team、シーサート)とは、情報システムで発生したセキュリティ上のインシデント(以下、インシデント)に対し、それを解決すべく適切な対応を行う体制です。CSIRTの役割りは、火事に対する消防署の役割りに近いとされます。
CSIRTの活動
CSIRTの活動は、インシデント発生前、インシデント発生時、インシデント発生後で分けられます。
インシデント発生前
インシデント発生前、つまり平常時の活動の目的は、セキュリティ事故を未然に防ぐことです。具体的には以下になります。
- インシデントに関する情報を収集し、情報システムに与える影響を調査
- インシデント発生時のマニュアルの整備
- 社員への注意喚起・教育・有事を想定した訓練の実施
- セキュリティインシデントの監視と検知
インシデントの監視対象にはネットワークとエンドポイントがありますが、互いの長所と短所を補完しあう関係にあります。ネットワーク機器での監視の長所は以下になります。
- 監視ポイントが限定できる
- エンドポイントの台数は関係しない
- 入口での検知・遮断が可能
エンドポイントでの監視の長所は以下になります。
- 暗号化通信でも検知が可能
- ネットワーク以外の感染経路でも検知が可能
- 侵害(感染)の範囲の調査が可能
インシデント発生時
インシデント発生時は、被害を最小化し、速やかな復旧を行うことを目的とします。具体的には以下にような流れなります。
1 | 検知・連絡受付 | ・異常検知システムを導入する場合は、何をもって異常と見なすかを予め決めておく ・組織内外からの通報に備えて窓口と体制を用意しておく |
2 | トリアージ | ・Why(原因)は後回しにして、When、Where、Who、What、Howを整理する ・CSIRTが対応すべきインシデントか否か判断する ・CSIRTが対応する、しないに関わらず、関係者に連絡する ・CSIRTが対応すべきと判断した場合はインシデント対応を行う |
3 | インシデント対応 | ・事象を分析し、自組織で対応が可能かどうか判断する ・対応が困難な場合は、経営層に連携し、対応計画を策定する ・対応可否によらず、必要に応じて外部の専門機関と連携する ・対応計画の実施後、改めて問題が解決しているか確認する |
4 | 報告・情報公開 | ・必要に応じて、プレスリリースや監督官庁へ報告を実施する |
これらの中でトリアージが最も重要とされ、インシデントへの対応の優先順位、判断基準を明確に決めておく必要があります。
インシデント発生後
インシデント発生後は、原因を究明し、再発を防止することを目的とします。
- セキュリティ対策の見直し
- インシデント発生時のマニュアルの見直し
CSIRTの体制
CSIRTの「T」は「Team」の略であるため、特定の部署のイメージがありますが、必ずしも「部署」である必要はありません。また、全ての要員を自社でまかなうことはリソース的に難しい場合があり、一般的ではありません。
例えば、扱う情報とスキルレベルの2つの観点に分けて考えます。扱う情報が内部情報(被害者側)の場合は社内の要員で対応し、外部情報(攻撃者側)の場合は社外にアウトソーシングします。
また、求められるスキルレベルが低い(社内にノウハウがある)場合は社内の要員で対応し、高い(社内にノウハウがない)場合は社外にアウトソーシングするなどです。
この観点で、CSIRTの活動を4つに分類すると以下になります。このように、CISIRTの活動は必ずしも全て自組織で行う必要はありません。
項目 | スキルレベルが低い | スキルレベルが高い |
社内情報 | 【自組織で実施】 インシデント管理、ネットワーク情報収集、従業員教育、人材確保など |
【外部組織を中心に実施】 リアルタイム分析・報告、問合せ受付、脆弱性診断、セキュリティ製品運用など |
社外情報 | 【自組織を中心に実施】 インシデント受付、インシデント分析、脆弱性管理・対応など |
【外部組織で実施】 リアルタイム高度分析、フォレンジック、検体解析、攻撃全容解析、証拠保全など |
CSIRTの導入
CSIRTの導入の流れは以下になります。
- STEP0:プロジェクト立上げ
・CSIRT構築の目的の設定
・プロジェクトの構成メンバの決定
・運用ルールの明確化 - STEP1:情報収集と現状把握・問題把握
CSIRTにより達成すべき事柄とCSIRTを構築する上での課題を抽出します。・守るべき情報資産とそれを取り巻く脅威
・既存のインシデントレスポンス体制
・既存のセキュリティポリシとセキュリティ関連文書 - STEP2:CSIRT計画立案
CSIRT構築計画は以下の手順で実施します。(1) CSIRT基本構想の検討
(2) サービスの検討
(3) 社内体制の検討
(4) 社外連携体制の検討
(5) 構築スケジュールの検討 - STEP3:CSIRT構築
CSIRT構築計画を基にCSIRTを構築します。(1) 経営層の承認とリソースの確保
(2) インシデントレスポンスに関連する社内の部門との調整
(3) サービス対象への説明とニーズの把握
(4) CSIRTの体制整備とスタッフへのトレーニングの実施
(5) CSIRTの運用に必要な文書の作成 - STEP4:CSIRT運用前準備
過去または想定したインシデントよりインシデントシナリオを作成し、机上で CSIRTの活動のシミュレーションを実施します。
- STEP5:CSIRT運用開始
CSIRT運用開始後はPDCAサイクルを回していきます。
CSIRTの構築で重要なのは、まず「何を守るのか」を明確にすること。そして、CSIRTはそれぞれの組織固有のもので、同業でも1つとして同じCSIRTは無く、他社の事例はあまり参考になりません。
スモールスタートで「できること」から始め、「使える」ことを最優先にし、PDCAサイクルを回しながら自組織に合ったCSIRTに作り上げていくことです。

