多くの企業にとって、サイバー攻撃への備えが重要になってきています。
サイバー攻撃の対策として、CSIRT(Coumputer Security Incident Response Team)を構築している・または構築しようとしている企業も多いと思います。これは、英語の意味のとおり「コンピュータ・セキュリティ事故が発生した場合の対応組織」のことです。
この記事では、このCSIRTの構築方法と運用方法をついて、極力分かりやすく説明していきます。
会社から、サイバー攻撃対策としてCSIRTを作って運用するよう指示されたが、どうしていいか分からない人でも、この記事を読めば、具体的に何から着手すればいいのかが分かります。
以下の内容で説明します。
CSIRTには何が必要か
CSIRTの組織が担う役割は、平時の役割と実際にセキュリティ事故が発生した場合の役割に分けることができます。役割を果たすために必要なものは、以下のとおりです。
| 項目 | 内容 | 必要なもの |
| 平時の対応 | 脆弱性対応(セキュリティパッチの適用等) | 脆弱性情報 |
| 普及活動(社員へのセキュリティ教育等) | 教育教材 (eラーニング基盤) | |
| 注意喚起 (他社で見つかった詐欺メールを社員への注意喚起する等) | 他社事例 | |
| 訓練(セキュリティ事故発生時の訓練等) | セキュリティ事故対応 マニュアル | |
| 有事の対応 | 検知・連絡受付(セキュリティ事故の検知・受付) | 検知ツール 連絡窓口 |
| トリアージ(対応することの優先付け) | 優先順位の定義 | |
| セキュリティ事故への対応 | セキュリティ事故対応 マニュアル | |
| 報告・情報公開 | 報告様式 情報公開マニュアル |
CSIRTを構築する際に決める必要があること
セキュリティ事故が発生した際に対応する組織、それがCSIRTですが、現時点でCSIRTには、経理部、総務部 といった誰もがイメージする明確な形が存在しません。
1.で示したとおり主な役割に関するコンセンサスはあるのですが、組織によってその形が大きく違っているのが現状です。
そのため、セキュリティ事故が発生した際、実際に機能する組織にするには、以下の点を決めておく必要があります。
| 項目 | 内容 |
| 対応する範囲 | CSIRT組織がどの範囲のセキュリティ事故まで対応するのかを決める。 これを決めないと、いつの間にか関係会社や海外拠点の事故まで対応 することになりCSIRT組織が機能不全に陥ってしまいます |
| 権限 | CSIRT組織がセキュリティ事故に対応する際、システム利用制限やログ の参照等、どこまでの決定権限があるかを明確にする必要があります。 これを決めておかないと後から、CSIRT組織が権限違反だとかコンプラ イアンス違反だとか言った指摘をされてしまう恐れがあります。 |
| 組織メンバ | CSIRT組織によっては、実組織ではなく、バーチャルで組織を組む ケースがあります。事故発生時に迅速に対応できるよう緊急連絡網を 整備する等、組織メンバを明確化することが必要です。 |
| メンバの役割 | 事故発生時に誰が何の役割を担うかを事前に決めておくことが大切です。 |
CSIRTの運用
CSIRTの運用を開始するには、更に以下の項目について検討する必要があります。
| 項目 | 内容 |
| 業務時間 | セキュリティ事故は24時間365日発生する可能性がありますので、 組織メンバの業務時間を決めておく必要があります。 |
| 情報管理ルール | セキュリティ事故対応では、役員のメールを確認するといった機密 情報に触れるケースがあります。事前に情報管理ルールを決めて おく必要があります。 |
| 案件管理方法 | セキュリティ事故への対応記録を保存し、月次や年次で分析する 必要があります。事前に案件の管理方法を整理しておきましょう。 同様な事故が発生した際にも役に立ちます。 |
| 対応手順 | セキュリティ事故への対応手順をマニュアル化しておきましょう。 全てのケースについてマニュアル化することは不可能ですが、都度 必要なマニュアルを作成することが重要です。 |
| 組織メンバの教育 | セキュリティ事故が無い時間を有効活用して、新たにメンバに加わった 人への教育を行いましょう。 |
| 訓練方法 | 大きなセキュリティ事故は、常に発生するわけではありません。 新たにメンバに加わった人でも正しい対応を理解できるよう定期的な 訓練を行うことが大切です。 |
| 周知方法 | セキュリティ事故発生時に直ぐに連絡がくるよう、CSIRTという組織が あることを、一般のシステム利用者へ周知しておくことが大切です。 日頃から、全システム利用者へセキュリティ事故発生時の連絡先を 周知して |
CSIRTの構築、運用については、日本シーサート協議会が発行している「CSIRT構築から運用まで」
が日本におけるこの分野のバイブルとなっています。多くのセキュリティ事故対応を経験したスペシャリストがタッグを組んで書いた本となっているので、大変参考になるものですので一度は手に取ってお読みいただければと思います。
コメント