[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料を無料ダウンロード

CSIRTとは、インシデントに対応する組織。その役割と導入プロセスについて

CSIRTとは、インシデントに対応する組織。その役割と導入プロセスについて

近年、日本においてもサイバー攻撃に対応するために、CSIRT(シーサート)を設置する企業が増えてきています。CSIRTはインシデント対応はもちろん、コンピューターのセキュリティ全般の司令塔を担いますが、CSIRTに対する誤解や運用の迷いが存在するようです。

当記事では、CSIRTの概要から具体的な業務、社内でのCSIRTの構築方法をわかりやすく解説しています。読み終えた頃にはCSIRTの全体像を把握することができます。

CSIRTとは

CSIRT(シーサート)は「Computer Security Incident Response Team」の略称で、情報セキュリティにおけるインシデント対応するためのチームを指します。具体的にはセキュリティ脆弱性に関する情報収集、サイバー攻撃やトラブルの監視、情報収集や監視に基づいた対応方針や対応手順の策定などが挙げられます。

CSIRTの目標は、インシデントによる被害を最小限にとどめ、速やかに元の状態に復旧することです。それには素早くインシデントを検知し、情報分析を通じて原因を特定することが求められます。

原因がわかれば社内への周知や外部の専門家との情報共有や意見交換が行われます。これらの作業をスムーズに実行するにはインシデント検知の仕組みづくりや社内の連絡体制の構築、情報収集するためのセキュリティツールの導入などが欠かせません。また、インシデントが発生した際の対応マニュアルの策定も重要です。

CSIRTは企業内に設置されます。組織の規模にもよりますが2~3名のチームで構成されることが多く、組織体系も千差万別です。企業によっては、「CSIRT」以外の独自の名称が付けられているところも少なくありません。

そのため、CSIRTの設置方法も組織によってまちまちです。一般的には、インシデント対応に対する課題を明確化し、CSIRTのグランドデザインを描きます。次に必要な人材を集め、予算を確保します。

CSIRTの設置において、最も難しいのは人材の確保です。CSIRTには豊富な知識と経験が求められるためです。もし、そのような人材の採用、育成が難しい場合は、外部の専門家をを利用する方法もあります。日本国内にはCSIRTの設置や運用を専門とするコンサルティング会社があるので、設置の際に相談することも一つの手です。

CSIRTの成り立ちの歴史と今必要とされる理由

CSIRTは、1988年アメリカで誕生しました。当時、インターネットは米軍関係や学術団体、一部の企業に限られていました。そんな中、世界初のワーム「モリスワーム」が発生し、インターネット接続されていた全コンピューターの1割にあたる約6,000台が使用できない状況に追い込まれてしまいました。このインシデントをきっかけに、世界初のCSIRT「CERT(Computer Emergency Response Team/Coordination Center)」がカーネギーメロン大学に設置され、現在では約90%のアメリカ企業がCSIRTを設置しています。

やがて、CSIRTは世界各国でつくられるようになり、1990年に他国との情報収集や分析を行う非営利組織「FIRST(Forum of Incident Response and Security Teams)」が設立されました。

一方、日本でも1996年にインシデントの情報共有や対策を行う国家的CSIRT「JPCERT/CC」が設立されていますが、企業内でのCSIRTの設置は諸外国と比べると遅れを取っています。2019年にNRIセキュアが行った調査によれば、日本国内でCSIRTを設置済と回答した企業は41.8%で、アメリカの87.5%、シンガポールの90.3%と比較しても、少ない結果であることがみてとれます。

このように設置が進んでいないのには、日本においてセキュリティ人材が不足していることが大きな理由となっています。また同調査では、実に87.8%の企業でセキュリティ人材が不足していると回答しています。

人材が不足している要因としては、人材育成が課題となっているようです。セキュリティ人材の育成・教育の課題に関する調査では、1位の回答が「セキュリティ人材の適切なキャリアパスが不足している」で、57.1%と半数以上になっています。

<参照:企業における情報セキュリティ実態調査2019|NRIセキュア

SOCとの違い・関係性

SOC(ソック)は「Security Operation Center」の略称で、セキュリティを監視します。一見するとCSIRTと同じように思えますが、役割は異なります。

CSIRTはセキュリティ部門の司令塔として活動し、レポートのチェックや社内でのセキュリティ情報に関する周知徹底を行いますが、一方、SOCはCSIRTから受けた分析依頼をもとに、データの解析やログ分析などの実務を担います。

しかし、近年はSOCがインシデント支援まで業務範囲を広げたり、また逆にCSIRTが分析の実務業務を行うケースもあり、両者間の境界線はよりあいまいになってきています。

SOCとは?包括的にサイバー攻撃の分析・検出を行う組織。必要な理由と選定ポイント
関連記事
SOCとは?包括的にサイバー攻撃の分析・検出を行う組織。必要な理由と選定ポイント

サイバー攻撃は、今や、シンプルなセキュリティ対策では太刀打ちできず、多層防御によるセキュリティ対策が必須になっています。......

CSIRTの種類

先述したとおり、CSIRTの形態は組織によってまちまちです。ここではCSIRTの種類について解説します。

Vendor Team(自社製品の脆弱性に対応する CSIRT)

自社製品の脆弱性に対応するCSIRTは「Vendor Team」と呼ばれています。社外から自社製品の脆弱性に関する通知や通報を受け付ける窓口を設置します。得られた情報を基に社内での情報共有やインシデント対応を行います。

Internal CSIRT(自組織や顧客が関わるインシデントに対応するCSIRT)

CSIRTで最も多いパターンが自組織や顧客が関わるインシデントに対応する「Internal CSIRT」です。これには形態や組み方により、「分散型CSIRT」「集中型CSIRT」「統合型CSIRT」の3パターンに分類されます。

分散型 CSIRT

「分散型CSIRT」では、監督や調整役を担当する責任者が各部門の担当者をCSIRTのスタッフに指名します。指名されたスタッフは他業務との兼務になりますが、インシデント発生時にはCSIRTスタッフとして活動します。

集中型 CSIRT

最もポピュラーなのが「集中型CSIRT」です。CSIRTを独立した部門とみなし、社内で発生するインシデント全体の責任を負います。集中型では、スタッフはCSIRT専属になり、責任者は経営層に対し報告義務を伴うことが一般的です。分散型と比べるとCSIRT専属メンバーが増えるため業務内容は広がりますが、コストは増大します。

統合型 CSIRT

分散型と集中型を合わせたのが「統合型CSIRT」です。インシデントが発生した場合は各部門から来たCSIRTメンバーが中心部に加わるため、現場に即した対応ができます。また、専任メンバーを部門のリーダーとして配属できるため、独立した部門として活動できます。大手グローバル企業などで採用されるケースが多いです。

National CSIRT(国や地域全体が関わるインシデントに対応するCSIRT)

National CSIRTは、国を代表して国際的な情報連携を行うCSIRTです。日本だとJPCER/CC(JPCERTコーディネーションセンター)が当てはまります。JPCER/CCでは「インターネット定点観測システムの運用」「国際連携」「国内の関係組織やコミュニティとの連携」など8項目を担います。

Incident Response Provider(契約に応じて外部組織のインシデントの対応を代行するCSIRT)

簡潔に説明するとCSIRTの外部委託です。社内でCSIRTの設置が難しい場合は外部パートナーとしてIncident Response Providerを利用します。

Coordination Center(報告されたインシデントに対応できるCSIRT)

他のCSIRTと連携しながら、セキュリティなどの情報収集を担うのがCoordination Centerです。アメリカにあるインターネットセキュリティの研究・開発研究機関CERT/CC(CERT Coordination Center)が当てはまります。

Analysis Center(インシデントの脅威や脆弱性を調査・分析するCSIRT)

脆弱性の調査、サイバー攻撃の最新動向などを分析するCSIRTのこと。インシデント発生時には、このAnalysis Centerが分析したデータを共有します。

CSIRTの機能・役割

ここでは、CSIRTの機能・役割をもう少し詳しく見ていきましょう。日本シーサート協議会が公開している『CSIRTスタータキット』ではCSIRTが提供している業務を「インシデント事後対応業務」「インシデント事前対応業務」「セキュリティ品質向上業務」に分類しています。

「インシデント事後対応業務」はオンサイト(直接訪問)や不正プログラムの解析、端末の情報解析など、インシデント発生後の活動のことを指します。

そもそも、インシデントを発生させないことも大切です。インシデントの水際対策や被害の最小化を目指した業務が「インシデント事前対応業務」です。具体的にはインシデントや脆弱性に関する情報収集、社内でインシデントを早期発見するための仕組みづくり、初期段階での運用体制の構築などが挙げられています。

組織での啓発活動にあたる「セキュリティ品質向上業務」もCSIRTが担います。社内でのリスク把握や社員への教育やトレーニングがこれに当てはまります。

以上3つの業務を紹介しましたが、すべてのCSIRTが全業務を提供しているわけではありません。企業規模やニーズ、予算、リソースと調整しながら、提供する業務を選択するといいでしょう。

<参照:CSIRTスタータキット|日本シーサート協議会

CSIRTの自社構築でまず検討すべき項目

CSIRTを社内で構築するにはどのような点に注意すればいいのでしょうか。一般的に、CSIRTはセキュリティの司令塔なので各部門に指示を出したり、フィードバックを経営層に報告する必要があります。社内の調整もCSIRTが担うべき仕事です。そのため、実務部門にあたるSOCはアウトソースすることが多いですが、CSIRTは自前で構築するケースが多いです。

活動目的の明確化

まずは、そもそもなぜCSIRTを設置するのか、活動目的を明確にしましょう。活動目的が明確になったら、「ミッションステートメント」に落とし込みます。

ミッションステートメントを作成することで、CSIRTの存在意義について経営層や各ステークホルダーの理解を深めることができます。

活動範囲の明確化

CSIRTの活動範囲に関しては、対応できる人材や予算を勘案しながら決めていくことが一般的です。最初の時点で、全組織をCSIRTの監視対象にしてしまうと、特に規模の大きい組織の場合、対応業務が膨大になり、インシデント対応に遅延が生じてしまうリスクがあります。

まずは、CSIRTの活動範囲を企業のコア事業に限定し、運用が安定してきたら、適宜範囲を拡大するという方法でも十分でしょう。

業務内容の定義

活動目的を明文化した「ミッションステートメント」をもとに、CSIRTの業務内容を明確化します。業務内容は現状、実現可能な範囲で決定して構いません。活動範囲の項目でも述べたように、業務内容を多岐にしてしまうと、対応業務が膨大になり、CSIRTメンバーへの負荷が大きくなり、CSIRTが機能しなくなる恐れがあるためです。

CSIRTスタータキット」では、CSIRTの業務内容として、「事前対応」「事後対応」「セキュリティ品質向上」の3つを挙げています。業務内容の策定時に参照してみてください。

<参照:CSIRTスタータキット|日本シーサート協議会

外部組織との連絡体制の確保

CSIRTの業務を遂行するにあたり、社内だけでなく他組織との連絡や連携が必要になります。インシデントを最小限に食い止めるには、各ステークホルダーといかに密に連携できるかがカギになります。スムーズに連絡や連携ができるよう、連絡体制を整備しておきましょう。

インシデントの定義づけ

自組織において、何が起こるとインシデントなのか、インシデントの定義付けを行います。例えば……

  • 保護すべき情報・データとは?(重要情報の優先順位)
  • どのような事象がインシデントなのか?
  • インシデントによりどのような影響や損害がもたらされるのか

想定できるインシデントを全て明確にしておくことで、インシデントを検知した際にも、冷静に対処することができます。

CSIRTを自社構築するプロセス

ここからは自社でCSIRTを構築するプロセスについて解説します。

CSIRTの構築では、まず経営層にCSIRTの業務内容や重要性を正確に理解してもらうことが最優先事項となります。CSIRTの自社構築では、すぐ設置できると誤解されがちですが、組織全体でCSIRTの重要性を共有し、綿密な計画に基づいた上で進める必要があります。

経営層にCSIRTの重要性を理解させるにはコンピューターのセキュリティリスクについて明快な説明が必要です。もちろん、経営層が考える自社のセキュリティーポリシーや予算、リソースなども考慮することが大切です。経営陣が納得したら、自社でのCSIRTの位置づけや方向性を決めます。

方向性が定まったら、CSIRTの具体的な設計や計画を策定します。同時にリーダーやスタッフなどの人選も進めていきましょう。構築ができたら、実施前にCSIRTのインシデントレスポンスのシミュレーションを行います。シミュレーションで体制に不備が見られなければ、与えられたミッションに基づき運用を開始します。

運用パターンはインシデント発生前の平常時とインシデント発生時の異常時に大別されます。平常時は情報収集や分析、インシデント発生時に向けたマニュアル策定、社内のセキュリティレベルの向上が中心になります。

まとめ

CSIRTはコンピューターのセキュリティにおいて司令塔の役割を果たし、アメリカでは1988年から設置が進んでいます。国内では未だ導入率は低いですが、相次ぐサイバー攻撃によりCSIRTの重要性が高まっています。

業務内容は多岐にわたりますが、設置の際はニーズや予算・人材などに合わせて業務内容の取捨選択が求められます。少ないリソースで業務を増やすと現場が疲弊し、インシデントが発生した際、スムーズに対応できなくなります。

まずは、CSIRTの重要性やサーバー攻撃などの脅威を把握し、CSIRT設置に向けた具体的な計画を立案してみましょう。

宮田 昌紀(みやた まさのり)
株式会社網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

ホワイトペーパー

[2021年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい