企業でできるセキュリティ対策の一環として、CSIRTの設置があります。セキュリティインシデントが発生したとき、CSIRTを構成しておくと迅速な対応が行える他、平常時からサイバー攻撃に備えることが可能です。
当記事ではCSIRTとは何か、役割と設置方法、現在注目を集めている理由を詳しく解説します。企業のセキュリティ対策をしっかり行い、インシデントの発生を防止するためにも当記事をぜひ参考にしてください。
目次
CSIRTとは?
- CSIRTに注目が集まる背景
- CSIRTとSOCの違い
CSIRTが求められる理由
- 時々刻々と変化する脅威に対応するため
- 迅速に発生した事故に対処するため
CSIRTが果たす役割
CSIRTを設置するためのステップ
- 自社の力だけでは設置が難しい場合
まとめ
1.CSIRTとは?
CSIRTとは、情報セキュリティに関するインシデント対応チームのことです。「Computer Security Incident Response Team」の略称で、「シーサート」と読みます。
セキュリティインシデントが発生した場合、企業はサービスの復旧・継続やユーザー対応、再発防止などを行わなければなりません。CSIRTの役割は、セキュリティインシデントの事後対応を迅速に行い、企業が受ける損害やサービスの混乱を最小限に抑えることです。
企業の情報セキュリティを構成する組織体制として、CSIRTは注目を集めています。
1-1.CSIRTに注目が集まる背景
CSIRTに注目が集まる背景には、近年における企業を対象としたサイバー攻撃の増加が挙げられます。
インターネットの普及やスマホ・クラウド・IoTといった技術の登場により、人々の暮らしは便利になり、企業と消費者の距離も縮まりました。しかし、情報通信技術の発達によりサイバー攻撃という脅威も発生しています。
企業のサーバー・端末に蓄積されているデータは、攻撃者にとって魅力的なターゲットです。顧客情報や企業技術などの機密情報を狙うサイバー攻撃は過去に何度も繰り返され、社会的事件となるほどの大きな被害を出した事例も存在します。
多くの企業はセキュリティ対策を導入しているものの、サイバー攻撃の手法は日々進化しています。進化を続けるサイバー攻撃への対応として、事前防御とともに事後対応のセキュリティ対策を行える組織体制が求められるようになり、CSIRTに注目が集まりました。
1-2.CSIRTとSOCの違い
企業のセキュリティ対策を行う専門組織には、CSIRTの他に「SOC」もあります。
SOCとは、24時間体制でシステム・ネットワークの監視を行い、サイバー攻撃の検知を行う専門チームのことです。「Security Operation Center」の略称で、「ソック」と読みます。
CSIRTとSOCは、それぞれが果たす役割に大きな違いがあります。CSIRTはサイバー攻撃後の事後対応に重点を置くのに対し、SOCはサイバー攻撃の事前検知・予防を中心に活躍する点が特徴です。
CSIRTとSOCは、どちらがより大切であるかという尺度では論じられません。企業が強固なセキュリティを構築するには両方のチームを設置し、適切に運用することが求められます。
2.CSIRTが求められる理由
セキュリティ対策の一環としてCSIRTを設置する企業は増えています。数多くの手法が存在するセキュリティ対策の中で、なぜCSIRTが求められるのでしょうか。
CSIRTが求められる主な理由を2つ紹介します。
2-1.時々刻々と変化する脅威に対応するため
企業を狙うサイバー攻撃は常に発生しており、攻撃手段は巧妙化の一途をたどっています。セキュリティ対策をしっかりと行う企業は多いものの、新しいマルウェアや未知のプログラムに既存のセキュリティが対応できないケースは少なくありません。
時々刻々と変化する脅威に対応するためには、被害を受けた後の対処も考えておくことが必要です。サイバー攻撃から情報システムを保護すると同時に、被害の速やかな収束を図れる体制を作っておくと、多層防御でのセキュリティ強化が実現できます。
サイバー攻撃による被害の事後対応を専門とするCSIRTは、企業のセキュリティ向上に役立ちます。
2-2.迅速に発生した事故に対処するため
サイバー攻撃による被害が発生した場合は、被害を受けたデータや規模を特定し、素早く対応策を実行しなければなりません。
被害の発生から対応実施までにかかる期間が長くなるほど、攻撃者のプログラムが自由に動ける時間は多くなり、データ侵害などの被害も拡大します。サイバー攻撃への対処に手間取ると、企業の信用が低下して更なる損害につながるおそれもあるでしょう。
IT依存の高まりにより、セキュリティインシデントはいつでも発生する可能性があります。発生した事故への対処を迅速に行い、被害を最小限に抑えるには、組織内にCSIRTを設置することが必要です。
3.CSIRTが果たす役割
CSIRTは平常時からセキュリティインシデントの発生時・発生後まで、下記に挙げるさまざまな役割を果たします。
平常時の活動
新しいサイバー攻撃やソフトウェアの脆弱性についてなど、インシデントにつながる最新情報の収集に努めます。脅威の変化に応じてインシデントの内容も移り変わるため、適切な対応フローの策定・情報共有も大切です。
自社が保有する情報資産の把握やセキュリティ品質の管理、従業員に対するセキュリティ教育も、平常時に行います。
インシデント発生時の対応
インシデント情報を受け取ったときは被害状況を調査し、インシデントの分類や対応の優先順位付けなどトリアージを行います。インシデントの原因究明・復旧対応・被害抑制といった対応活動を決定し、対応担当者や関係部署への指示伝達も行わなければなりません。
明確な被害が発生した場合は警察・関係省庁などに連絡し、被害に遭った消費者や取引先企業への通知、プレスリリースなどの情報発信なども行います。
インシデント発生後の活動
インシデントに関係した機器内のログやマルウェアの痕跡を分析し、情報収集を行います。インシデントの発生経緯から課題発見や再発防止策を検討し、社内に共有します。
4.CSIRTを設置するためのステップ
社内のCSIRT設置は、前提として経営層の承認を得た上でスタートします。CSIRTを設置するための5つのステップを解説します。
(1)社内の現状把握
各部署における業務プロセスやセキュリティ体制、インシデント対応についての社内規則などを把握します。インシデント対応やセキュリティ業務に知見を持つ人材へのヒアリングも行いましょう。
(2)チーム結成
現状把握の結果をもとに、インシデント対応のスキルがある人材や社内業務に詳しい人材を集め、CSIRT構築チームを結成します。チームの活動を推進するリーダーも必ず選定してください。
(3)CSIRT構築案の設計・計画
CSIRTの使命や活動内容、組織内での位置付けなど、社内で活動するにあたっての目的や取り決めを設計します。決まった内容は文書化し、チーム内で共有します。
(4)CSIRT運用のリソース確保
CSIRTの運用に必要な予算や要員、設備などのリソースを確保します。CSIRT構築チームのメンバーがそのまま運用に携わるケースが多いものの、新しい人材を迎えた場合は教育が必要です。
(5)CSIRTの運用開始
CSIRTの設置を社内や外部組織に向けて告知し、実際の運用を開始します。
上記の流れで、社内にCSIRTを設置できます。CSIRTの運用開始後は、運用状況にもとづき定期的な改善を行い、社内セキュリティの強化に取り組みましょう。
4-1.自社の力だけでは設置が難しい場合
CSIRTの設置には情報セキュリティについての高度な知識や、人材・設備導入など多くのコストがかかります。自社の力だけではCSIRTの設置が難しい場合は、CSIRT構築を支援するサービスの活用も検討しましょう。
CSIRT構築の支援サービスを利用すると、自社の現状や予算をもとに、無理のないCSIRT構築の計画を提案してもらえます。「社内にCSIRT構築に携われる人材が少ない」「CSIRTを早急に設置したい」といった企業に、CSIRT構築の支援サービスはおすすめです。
まとめ
CSIRTとは、情報セキュリティ対策を行うインシデント対応チームのことです。平常時はサイバー攻撃に備えた情報収集を行い、インシデント発生時は被害状況の調査や復旧活動、関係部署への連絡など必要な対応を行います。インシデントが起こったときに迅速に対応するために、CSIRTを設置しておきましょう。
セキュリティ対策を実施するときは、CSIRTと合わせてソリューションを導入することもおすすめです。セキュリティ技術を無効化するHEAT攻撃にも対応可能なWEB無害化など、幅広いセキュリティ対策を実施しましょう。
関連リンク
Eliminating SOC fatigue in today’s distributed, hybrid workplace
見逃し配信:過去のウェビナーをオンデマンドで公開しています