CSIRTとは?役割や主な業務内容・構築の手順を解説
サイバー攻撃が高度化・巧妙化する中、不正アクセスやマルウェア感染などのセキュリティインシデントが発生する可能性は高まっています。テレワークの導入やクラウドサービスの発達などにより企業のデジタル化が進む中、情報セキュリティの厳重化は情報資産漏洩などのリスクを抑えるのに必須となっています。高度なサイバー攻撃に素早く対処するために作られた組織がCSIRTです。
この記事ではCSIRTの主な業務内容やSOCとの違い、CSIRTを自社で構築する手順について解説します。
目次
4. CSIRTの構築が難しければアウトソーシングもおすすめ
1. CSIRTとは
CSIRTとは、不正アクセスやウイルス感染など、情報セキュリティに関わるインシデントに対処するために作られた組織です。CSIRTは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。
CSIRTは、1988年にアメリカで生まれた非常に歴史の古い組織です。アメリカでモリスワームと呼ばれるマルウェアが発生し、対策として米カーネギーメロン大学内で設置された「CERT/CC」が世界初のCSIRTとされています。
1-1. CSIRTが必要とされる理由
CSIRTが企業に必要とされる理由は、デジタル化に応じて、重要情報などを狙ったサイバー攻撃が巧妙化・増加したためです。2001年頃、各企業での積極的なデジタル化が進められ、セキュリティインシデント発生数が増加するという予測が立てられました。
現代のサイバー攻撃の手口は巧妙化し、企業でセキュリティを強化しても防ぎきれないケースも見られます。セキュリティインシデントが発生し、対処法を間違えると、顧客の個人情報などの情報資産が漏洩し、組織として信頼を失う可能性があります。企業はインシデントが発生した場合に備えてCSIRTを設置し、素早く正しい対処をすることが重要です。
1-2. CSIRTとSOCの違い
企業のセキュリティ対策の組織には、CSIRT以外にもSOCがあります。SOCとは、Security Operation Centerの略称で、「ソック」と読みます。
CSIRTとSOCはインシデントが発生した際には協力して対処を行いますが、それぞれの役割には違いがあります。CSIRTの役割は、インシデントが発生した際に、適切な対応を行い、被害を最小限におさえることです。一方、SOCは社内のネットワークの通信や機器を常時監視し、攻撃の兆候を早期の段階で検知するというセキュリティ強化の役割を担います。
2. CSIRTの役割と主な業務内容
日本シーサート協議会の定義では、CSIRTに類似した組織は消防団です。消防団は普段は火災を防ぐために情報を収集し、火災が発生したときには近隣の消防団と協力して早期に火を消し止めます。また、火災の原因を突き止め、今後似た原因で火災が発生しないように対処法を共有し、長期的な火災の発生件数を減らす役割を担っています。
同じく、平常時はインシデントについての情報共有を行い、インシデント発生時には影響の拡大を防ぎ、原因分析や再発防止措置の策定をするのがCSIRTの役割です。
CSIRTの具体的な業務内容を、平常時とインシデント発生時に分けて紹介します。
2-1. 平常時のCSIRTの業務
CSIRTは、平常時はインシデント発生時に備える業務を行います。代表的な業務は以下の通りです。
自組織内で行う業務もありますが、日頃から取引のある社外組織との連携や調整を行うこともCSIRTの重要な活動の1つです。平常時にセキュリティインシデント対策を行い、インシデントの予防や発生時の被害抑制を目指します。
2-2. インシデント発生時のCSIRTの業務
セキュリティインシデントの発生時には、CSIRTは被害を最小限に抑え、早期に復旧させるのを目的として活動を行います。インシデント発生時に一番重要なことはインシデントの早期検知であり、日常的にインシデントを検知するための装置や仕組みを整えておく必要があります。インシデント発生時の代表的な業務は以下の通りです。
インシデントの対応方針は、自組織がどこまでリスクを許容できるかによって決まります。直ちに脅威の排除が必要な場合は、対応マニュアルやチェックリストに従ってネットワークの切断や感染システムの隔離などの復旧対応活動が行われます。
3. CSIRTを自社で構築するための手順
CSIRTは、企業が自社のセキュリティをサイバー攻撃から守るために重要なチームです。CSIRTを自社で構築する際には、社内の部署を縦断するだけでなく、他のCSIRTとの協力を行えるチームを構成する必要があります。
自社でCSIRTを構築するための手順について紹介します。
※各小見出しでは以下の出典を参考にしています。
出典:一般社団法人JPCERTコーディネーションセンター「CSIRTマテリアル」
3-1. 自社の現状を把握して方向性を定める
自社でCSIRTを構築するには、構築に必要な情報を整理する必要があるため、自社の現状把握が大切です。自社の現状を把握するために、組織内の各部署のセキュリティ担当またはインシデントの対応経験がある社員に聞き取り調査を行いましょう。聞き取りは、各部署の業務フローや現状のセキュリティ対策、過去に発生したインシデントの対応策に関する問題点などを重点的に行うのがおすすめです。
聞き取り終了後、出揃った情報から構築するCSIRTの方向性を定めます。CSIRTは業務を行う際に、他部署との利害関係が生まれる可能性があります。予算や今後の経営戦略も考慮してCSIRTの業務範囲を事前に決めておくことが大切です。
3-2. セキュリティ人材を社内に用意してチームを構築する
自社セキュリティの現状を把握でき、業務範囲が決まったなら、範囲に応じて必要なセキュリティ人材を確保しましょう。
CSIRTの人材に求められるのは、ITの専門知識や技術に加えて、優れた対人スキルとコミュニケーションスキル、ストレスへの耐性です。
CSIRTのメンバーは、サービスの対象者や他のCSIRTなどの外部組織との連携が求められます。インシデント発生時にいち早く外部機関と協力し、問題を特定するには日常的な信頼関係の醸成が必須です。
また、CSIRTはインシデントが発生したときに冷静に問題への対処を求められる組織です。強いプレッシャーの中で決断を行い、時間的な制約がある中で必要なことが何か判断するためには、ストレスも必要な資質です。
冷静にインシデント対策に取り組み、周囲からの信頼を得られるようなチームを構築しましょう。
3-3. CSIRT設置を周知して連携体制を確立する
CSIRTの設置完了後は、社内外への周知を行い、連携ができる対応体制を作りましょう。CSIRTは外部との協力を前提とした組織です。サイバー攻撃が高度化する中、インシデントの内容によっては自社だけで攻撃への対処が困難なケースもあります。外部のCSIRTとの連携を確立することで、インシデントの早期検知が可能です。
また、自社にサイバーセキュリティ製品を提供しているベンダーや、サイバー犯罪への法的対処が可能な警察組織との連携が必要な場合があります。インシデントの早期解決のためには、外部機関との連携体制を事前に決めておくことが大切です。
4. CSIRTの構築が難しければアウトソーシングもおすすめ
CSIRTの構築のハードルとなるのが、セキュリティ人材の確保です。約9割の日本企業は、セキュリティ対応の人材不足に悩んでいます。
CSIRTの運用に必要なセキュリティ人材は、確保や育成に高いコストが必要です。また、CSIRTはただ構築すればよい組織ではなく、日々進化するサイバー攻撃に対応するために、常に知識をアップデートしなければなりません。
自社でのCSIRT導入が難しい企業には、CSIRTのアウトソーシングを利用するという方法があります。CSIRTは組織を縦断するセキュリティチームのため、外注でも比較的容易に行え、CSIRT構築支援を受けることができます。
出典:産業横断サイバーセキュリティ検討会「産業横断 セキュリティオペレーション アウトソーシングガイド」
まとめ
CSIRTとは、コンピューターセキュリティに関わるインシデントに対処するために作られた情報セキュリティ対策組織です。CSIRTは平常時はインシデントについての情報共有を行い、インシデント発生時には影響の拡大を防ぎ、原因分析や再発防止措置の策定をする役割を担います。
CSIRTを自社で構築するには、セキュリティ人材の確保が必要です。セキュリティ人材の確保が困難な場合は、セキュリティをアウトソースするのもおすすめです。CTCの「Security Steward」は自社や子会社のリスクだけでなく、サードパーティのリスクを評価し、対処することでインシデントを防ぎます。
