CSIRTとは? 役割や必要性について解説
リスク管理
企業の情報システムやコンピュータを襲うサイバー攻撃、重要データが持ち出される内部不正、ヒューマンエラーで引き起こされる情報漏えいなど、今やこれらを完全に制御することはきわめて難しい時代に突入しています。それゆえ注目されているのが、インシデントの発生を「起こり得るもの」として捉え、被害を抑えるための対応策を持つ「CSIRT」という専門チームです。CSIRTの役割、必要性、設置方法などについて解説します。
CSIRT(シーサート)とは?
CSIRTとは、情報セキュリティにおけるインシデント(セキュリティ事故)に対応するためのチーム(組織)の総称です。CSIRTは「Computer Security Incident Response Team」の略であり、日本語に訳せば「コンピュータに関するセキュリティインシデント対応チーム」ということになります。
CSIRTは主に企業内や組織内に設置されます。その活動は組織内で発生したインシデントへの対応が中心です。インシデント関連情報や脆弱性情報の収集、サイバー攻撃やその他の脅威・トラブルの監視、それらの分析をもとにした対応方針と対応手順の策定なども行います。
CSIRT間の情報交換や連携も行われており、日本シーサート協議会というコミュニティも存在します。
CSIRTの必要性
サイバー攻撃の多様化と巧妙化、内部不正による情報漏えいの増加などによって、現在ではインシデントの発生を完全に封じ込めることは不可能に近い状況となっています。
これまでのセキュリティ対策は、基本的にインシデントを発生させていけないものと捉えて攻撃を防御し、トラブルを回避するための体制づくりを行ってきました。アンチウイルスソフト、ファイアウォール、IDS(侵入検知システム)、IPS(侵入防止システム)などはいずれもそうした見地から作り出され、導入されてきたものです。
しかしこのような考え方は、実際にインシデントが発生したときに対応が後手に回る危険性をはらんでいます。そこで企業などは、「インシデントは発生するもの」という前提に立つ新しい対策を考えるようになりました。既知の脅威だけでなく、未知の攻撃や想定外のトラブルをも含む事故や事件が起きたときに、被害を最小化するためのシステマティックなプログラムを求めるようになったのです。
CSIRTの設置は、このようなセキュリティ対策の見直しを踏まえたものといえます。求められるのはインシデントに迅速かつ的確に対応できるスキームであり、CSIRTはそうした体制の中核を担う専門チームとなることが期待されます。
CSIRTの役割
CSIRTの役割や権限の範囲は企業によって異なります。しかし、CSIRTと名のつく組織であれば、インシデントへの対応が最も重要な役割となることは間違いありません。万一、企業内でインシデントが発生したときは、CSIRTが中心となって適切に対応する必要があります。
インシデント発生時にCSIRTに求められるのは、被害を限定的なものに抑えて最小化し、できるだけ速やかにもとの状態へと復旧することです。そのためにはインシデントを検知して素早く情報を収集し、インシデント分析をしてそれが起きている原因を特定しなければなりません。さらに状況に応じたネットワーク切断やシステム停止、社内外へのアナウンス、外部セキュリティ専門家との情報共有などを行います。そして障害や脅威の排除に成功したらシステムを復旧し、被害状況の確認・検証などを実施します。
これらの対応をスムーズに進めるには、インシデント検知の仕組みや連絡網の構築、情報分析と問題解決に役立つセキュリティツールの導入や知見・ノウハウの蓄積、マニュアルやチェックリストによる対応手順の整備が不可欠です。
また、インシデントが発生したときにどのような方針に基づいて対応するかという、おおもととなる基準を定めることも重要です。
CSIRTを設置する方法
CSIRTの設置方法も企業によってさまざまなケースが考えられます。企業内部に独立した部署を設ける方法、複数の部署から人員を集めて横断的なチームを作ってCSIRTを構成する方法、部署にとらわれず個人単位で人材を集めてチーム化する方法などが考えられます。
CSIRT設置にあたっては、まず上層部からの理解と了承を得て、インシデント対応についてどのような課題があるのかという現状調査から始めるのが一般的です。次にどのような組織またはチームを目指すかを決め、必要な人材を集め、予算やリソースを確保することになります。その後は、インシデント発生時の対応マニュアルの作成や連絡網の構築など、より具体的な作業に入っていきます。また、CSIRTスタッフへの教育・研修も行います。
ただ、企業によっては社内だけでは十分な人員を集められない、リソースを確保できないというケースも起こり得ます。CSIRTを構成する人員にはセキュリティエンジニアとしての知識やスキルが求められます。これまでセキュリティ対策やインシデント対応に取り組んできたという経験も大きな力になります。そのため、社内にはインシデントの監視と検知に特化した人員のみを置き、その他の専門的業務はアウトソーシングするという選択肢もあります。さらに、CSIRTの設置や運用についてコンサルティングサービスを提供するセキュリティ会社も存在します。
世界的な標準から見れば、日本の企業や組織におけるCSIRTの設置はまだまだ十分に進んでいるとはいえません。しかし、インシデントの件数は今後確実に増え続け、さらなる変容を遂げていくと考えられます。CSIRT設置の有無を問わず、今すぐにインシデントによるリスクを軽減するには、CSIRTの思想に近いセキュリティツールを導入する方法も効果的です。
AppGuardで感染対策を!
