セキュリティ
CSIRT(シーサート)とは何か? 概要や必要性、問題点まで解説
企業へのサイバー攻撃などのセキュリティリスクを考えるとき、被害を抑えるために有効な組織として注目されているのが「CSIRT(シーサート)」です。CSIRTとは何なのか、CSIRTを設置するとどのようなことが可能になるのか、今、企業がインシデント対応能力を手に入れるために知っておくべきことについて解説していきます。
CSIRTとは
CSIRTは「Computer Security Incident Response Team」の略で、「コンピューターセキュリティにかかわるインシデントに対応するチーム」を指します。企業などのコンピューターや情報システムにおいて、情報流出、不正侵入、マルウェア感染などをはじめとする何らかのセキュリティ上の問題=インシデントが発生した際に、いち早く発生を検知し、状況に応じた的確な対応を行うための組織の総称です。
日本では1996年に「JPCERT/CC」というコンピューターセキュリティ情報の収集などを行う一般社団法人が発足し、この組織が国際的なCSIRTの非営利団体である「FIRST」に日本で初めて参加したCSIRTとなりました。その後、 2002年4月には内閣官房情報セキュリティ対策推進室に「NIRT(緊急対応支援チーム)」が設置され、2007年には「日本シーサート協議会」が発足しています。
CSIRTとSOCの違い
CSIRTと似た組織としてSOCが挙げられます。SOCは「Security Operation Center」の略で、サイバー攻撃の検知や分析を行い、対策を講じる部門・組織の総称です。CSIRTとSOCは混同されがちですが、インシデントに対してどの段階で対応を行うか、という点に違いがあります。
CSIRTはインシデント発生後の被害拡大の防止や、インシデントの根本解決を主として対応を行いますが、SOCではインシデントが発生しないように事前に対応する点が大きな違いとなっています。もしインシデントが発生してSOCが検知したら、CSIRTへのエスカレーションが行われることになります。
CSIRTとPSIRT(ピーサート)の違い
もう一つ、近年聞く機会が増えている用語として「PSIRT」が挙げられるでしょう。PSIRTは「Product Security Incident Response Team」の略で、CSIRTと同様にインシデント発生時の対応を行う組織を表します。
CSIRTとPSIRTの違いは対応範囲です。CSIRTは所属する企業・組織に対するインシデントに対応しますが、PSIRTは自社で開発した製品やサービスに対するインシデント対応を行います。つまり、PSIRTは外部に提供する製品やサービスの保護を目的としており、この点がCSIRTとの大きな違いです。
企業にCSIRTが必要な理由
国内において十分な数のCSIRTを設置する必要性が指摘されるようになったのは、2001年頃からです。当時、ブロードバンド化が進むにつれてセキュリティインシデントの発生数が確実に増加するという予測が立てられ、それに対抗するための企業内のCSIRT、教育機関内のCSIRT、個人ユーザー向けのプロバイダーなどが提供するCSIRTなどの設置が必要不可欠とされていました。
実際に現在、サイバー攻撃の手口は巧妙化・悪質化し、セキュリティ対策を強化してもさらにそれを上回る攻撃方法が登場するなど、完全な「イタチごっこ」の状態が続いています。また、脅威の種類も増え続け、セキュリティソフトを用意するといった単純な方法では対応が追いつかない状況となっています。
特に企業は攻撃の対象となりやすく、しかもインシデント対応を誤った場合には個人情報の漏えいやシステムの停止などが発生し、ステークホルダーからの信頼が失墜するなどの連鎖につながる可能性が高くなります。その結果、事業継続に支障をきたすような事態に陥ることも十分に考えられるでしょう。
これまでのようにそれぞれの部署がセキュリティ対策を講じたり、システム管理者や情報セキュリティ担当者が対応したりするだけでは不十分です。情報漏えいやマルウェア感染といったインシデントが発生した場合を想定し、インシデント発生検知、状況把握、被害拡大の阻止、企業内の各部署への連絡・連携、顧客などへのアナウンス、必要であれば外部のインシデント対応チームとの連携も行えるような組織の存在が求められます。
企業内CSIRTはこうしたことを行うための組織であり、CSIRTが対象とするインシデントリスクの克服は、事業継続のために経営者層がリーダーシップを執って取り組むべき経営課題であるといえます。
CSIRTを設置すると何が変わるのか
CSIRTは情報セキュリティの問題を専門に、しかも企業全体の視点から取り扱う組織です。その役割は、インシデントを検知し、検知した場合に企業全体でどのような適切な対応・措置を取ることができるかを整備して、危機に備えることにあります。
インシデントの検知はシステムの監視だけではなく、顧客などからの通報を受け付ける窓口を設けることで強化できます。検知後はインシデントによるリスクのレベル、脅威の排除に対する緊急性の度合いなどを分析する手順を用意しておきます。その結果に応じて侵入範囲の特定と遮断措置を実施するための方法も整備します。また、自社だけでは判断や実施が難しい場合は、外部のインシデント対応チームへ協力を要請できる体制を整えておくことも重要です。
CSIRTを設置すると、インシデント対応窓口の一本化、インシデント情報管理の一元化が実現できます。そのことによって迅速な検知と対応が可能になるでしょう。サイバー攻撃の方法が変わっても、検知の仕方と被害拡大を防ぐ対応には汎用性があります。企業内にこのような「インシデント対応能力」を持つ組織を設置できれば、被害を最小限に抑えることができるはずです。
CSIRTを設置する際のポイント
CSIRTの設置は上述したように、企業全体で取り組まなくてはならない経営課題と捉えるべきでしょう。経営トップや上層部の理解を得なければ、実効性のある組織を作ることは難しくなります。また各部門・部署との連携も要するので、社内で啓発活動を行い、協力が得られるようにしておくことも肝要です。
ただし、どのようなインシデント対策をしておくべきかは、企業によって異なります。CSIRTを設置したくても、捻出できる予算が限られているという企業もあるでしょう。自社で十分なリソースを用意できないのであれば、外部のインシデント対応チームや専門家の力を借りて、最低限の組織で運用するという方法も考えられます。
CSIRT設置の流れ
CSIRTを設置する場合には、社内で人材を集めて構築する「社内設置」と社外に委託する2つの方法が考えられます。
社内設置の場合、最も重要になることは経営層にCSIRTの必要性を理解してもらうことです。CSIRTを一部門として立ち上げ、予算の確保から今後の経営戦略・事業計画との整合性も考える必要があるからです。
また、CSIRTは画一的な組織とは限りません。企業によって規模や必要とされることは異なるため、自社にとってどんな対策が必要かを検討した上で組織を構築します。CSIRTを設置した後は運用フェーズとなり、平常時は最新のサイバー攻撃の手法や自社のセキュリティ強度の評価などを行います。加えて、インシデントの発生を考慮して従業員へのセキュリティ教育を実施することもCSIRTの重要な役割の一つです。
より具体的な構築方法に関しては、経済産業省などがガイドラインをはじめとするさまざまな資料を提供しているため、こちらも併せて確認すると良いでしょう。
CSIRTの人材はセキュリティに関する知識・スキルが求められるため、自社内で人材を集めることが難しい、という企業もいるでしょう。その場合には、外部に委託することも検討してみてはいかがでしょうか。社内設置と異なり、専門知識を持った人材と環境がすでに用意されているため、コストは掛かりますが契約後から高度な対応が実現できます。リソースの確保が難しい場合には検討するとよいでしょう。
CSIRTの役割は、今後さらに多くの企業にとって重要なものとなっていくことは間違いありません。しかし、自社にマッチした内容と規模のCSIRTを設置するには、入念な現状調査と分析を行うことが欠かせません。以上を踏まえた上で、CSIRTの設置を検討してみてください。
日立ソリューションズ・クリエイトでは、サイバーセキュリティトレーニングを提供しています。初級「CSIRT基礎」、中級「アーティファクトハンドリング」「インシデントハンドリング」「脆弱性ハンドリング」の4つの講義で構成される「CSIRT向けトレーニングパック」も用意しています。サービスの詳細は、以下のページをご覧ください。