CSIRTとは

セキュリティ

CSIRT(Computer Security Incident Response Team、シーサート)とは、情報システムで発生したセキュリティ上のインシデント(以下、インシデント)に対し、それを解決すべく適切な対応を行う体制です。CSIRTの役割りは、火事に対する消防署の役割りに近いとされます。

CSIRTの活動

CSIRTの活動は、インシデント発生前、インシデント発生時、インシデント発生後で分けられます。

インシデント発生前、つまり平常時の活動の目的は、セキュリティ事故を未然に防ぐことです。具体的には以下になります。

  • インシデントに関する情報を収集し、情報システムに与える影響を調査
  • インシデント発生時のマニュアルの整備
  • 社員への注意喚起・教育・有事を想定した訓練の実施

インシデント発生時は、被害を最小化し、速やかな復旧を行うことを目的とします。

  • インシデントを検知、または組織内外からの通報の受付け
  • インシデント対応方針の判断と解決に向けた技術的対応
  • 関係者への連絡と情報開示

インシデント発生後は、原因を究明し、再発を防止することを目的とします。

  • セキュリティ対策の見直し
  • インシデント発生時のマニュアルの見直し

CSIRTの体制

CSIRTの「T」は「Team」の略であるため、特定の部署のイメージがありますが、必ずしも「部署」である必要はありません。また、全ての要員を自社でまかなうことはリソース的に難しい場合があり、一般的ではありません。

例えば、扱う情報とスキルレベルの2つの観点に分けて考えます。扱う情報が内部情報(被害者側)の場合は社内の要員で対応し、外部情報(攻撃者側)の場合は社外にアウトソーシングします。

また、スキルレベルが低い(社内にノウハウがある)場合は社内の要員で対応し、高い(社内にノウハウがない)場合は社外にアウトソーシングするなどです。

この観点で、CSIRTの活動を4つに分類すると以下になります。このように、CISIRTの活動は必ずしも全て自組織で行う必要はありません。

項目 スキルレベルが低い スキルレベルが高い
社内情報 【自組織で実施】
インシデント管理、ネットワーク情報収集、従業員教育、人材確保など
【外部組織を中心に実施】
リアルタイム分析・報告、問合せ受付、脆弱性診断、セキュリティ製品運用など
社外情報 【自組織を中心に実施】
インシデント受付、インシデント分析、脆弱性管理・対応など
【外部組織で実施】
リアルタイム高度分析、フォレンジック、検体解析、攻撃全容解析、証拠保全など

CSIRTの導入

CSIRTの導入の流れは以下になります。

  1. STEP1:プロジェクト立上げ 目的設定、情報取集と現状把握・問題把握
  2. STEP2:CSIRT計画立案 社内体制、リソース、構築スケジュールの検討
  3. STEP3:CSIRT構築 経営層の承認、関係部署への説明、CSIRT体制整備、マニュアル作成
  4. STEP4:CSIRT運用前準備 運用のシミュレーションの実施
  5. STEP5:CSIRT運用開始 PDCAサイクルを回す

CSIRTの構築で重要なのは、まず「何を守るのか」を明確にすること。そして、CSIRTはそれぞれの組織固有のもので、同業でも1つとして同じCSIRTは無く、他社の事例はあまり参考になりません。

スモールスタートで「できること」から始め、「使える」ことを最優先にし、PDCAサイクルを回しながら自組織に合ったCSIRTに作り上げていくことです。

参考

CSIRT - 日本シーサート協議会
情報セキュリティ
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

 

タイトルとURLをコピーしました