この記事のポイント
- CSIRTはセキュリティインシデントの発生時に、被害を抑えるために活動するチーム
- CSIRTには複数の実装モデルがあり、自社の組織やリソースなどの状況に応じた検討が必要
- 重大インシデントの発生時には経営層に判断を仰ぎ、ほかのセキュリティ組織と連携して対応にあたることもあるため、技術力だけでなくコミュニケーション能力も求められる
CSIRTとは?役割やSOCとの違い、立ち上げの流れ、構築モデルをわかりやすく解説
CSIRT(シーサート)は、Computer Security Incident Response Team(コンピューター・セキュリティ・インシデント・レスポンス・チーム)の頭文字をとった言葉です。企業・組織内に設置されるセキュリティ専門組織の1つで、インシデントが発生した際にその対応にあたります。
この記事ではセキュリティ体制の強化や見直しを考える方、インシデント対応に備えようとする方に向け、CSIRTの具体的な役割や体制構築のポイント、実装モデルなどについて解説します。
CSIRTの役割、SOCとの違い
CSIRTの役割は、主にコンピューターやネットワークなど企業・組織内にある情報システムの安全確保、情報の保護に努め、セキュリティインシデントの発生時には、その被害を抑え込むことにあります。
セキュリティ対応組織として、しばしばCSIRTとともに話題にのぼるSOC(Security Operation Center/ソック)は、IT機器やネットワークを常時監視することを活動の中心とし、異常を検知したらCSIRTなどに報告する役割を担います 1。
なおCSIRTに類似した用語としてPSIRT、DSIRT(SSIRT)など「xSIRT」と呼ばれるものがあります。これらは顧客に提供したIT製品(Product)やデジタルサービス(Digital Service)を対象としたセキュリティ対応チームです 2。本記事では詳細には触れませんが、所属先がそうした製品・サービスを提供しているようであれば、この機会に設置の要否を検討することをお勧めします。
CSIRTを立ち上げる目的と意義
サーバーやデータセンターに置かれた機密情報や顧客の個人情報などが流出・消失すれば、企業の信頼性や優位性に大きな打撃を与え、また多額の損害賠償金を支払うことになりかねません。最悪の場合、事業の継続が不可能になることもあります。情報の流出・消失の要因としてはサイバー攻撃のほか、システム障害、内部不正などの要因が考えられますが、被害を未然に防ぐ(あるいは抑制する)ためには、常に自社の情報システムを監視し、異常が検知されたときにはすぐにリスク回避の動きにつなげられるように用意しておくべきでしょう。
必要なのは現場対応だけではありません。大きなインシデントが発生した場合には、それがどのようなインシデントで、どのような被害につながるのかを上層部に説明して経営判断を仰ぎ、それに沿った対応策を組み立てなければなりません。この役割を、IT機器の保守・運用で多忙な情報システム部門だけに担わせるのは困難でしょう。監視と検知には先述のSOC、インシデント対応にはCSIRT、全体の統括にはCDC(サイバーディフェンスセンター:Cyber Defense Center)などのチームを設け、有事には経営層や情シス、その他の関連部門が円滑に連携できる組織づくりを行うことが得策といえます。なお、SOC、CDCの詳細は以下の記事で解説しています。
CSIRTの主な業務
平時には、脆弱性の情報を集めて自社の情報システムの安全性を確認したり、他社のインシデント事例を参考に自社なりの対応策を検討したり、従業員へのセキュリティ教育などにあたったりするのが、CSIRTの主な仕事です。
SOCから異常報告を受けた際には、それが重大インシデントにつながるおそれがあるのかを即座に判断し、必要があればネットワークの遮断、システム停止などの措置を講じます。また同時に、被害の抑制と問題解決に向けて行動を開始し、事態収束後は復旧作業や再発の防止にあたります。
先述のとおり、重大インシデントの発生時にはほかのセキュリティ対応組織や上層部と円滑に情報を共有し、連携して対応する必要があります。定期的にセキュリティをテーマにした報告会やインシデント対応演習を主催して、各部門とコミュニケーションをとりやすい環境をつくっておくことも大切です。
以上、一般的なCSIRTの業務内容を記載しましたが、実際にどこまでの業務をCSIRTが担うかは、自社の業務プロセスや組織に合わせて検討する必要があるでしょう。
CSIRTの設置状況
KPMGコンサルティング株式会社の調査レポート「セキュリティサーベイ2022」3 によれば、調査に応じた285社のうち34.4%がCSIRTを自社内に設置しており、46.4%が今後設置予定あるいは設置を検討していると回答しています。セキュリティインシデントに対して、企業が危機感を感じていることがうかがえる数字だといえます。
CSIRTの立ち上げ
実際にCSIRTを社内に設立する場合、どのようなメンバーを集め、どのように組織をつくっていくべきなのでしょうか。一般社団法人JPCERT コーディネーションセンターが公表している資料「経営リスクと情報セキュリティ ~CSIRT:緊急対応体制が必要な理由~」4 を参考に紹介します。
CSIRTの実装モデルと体制図
同資料では、CSIRTのモデルを以下の5つに分類しています。自社の組織やリソースなどの状況によって、どのモデルを採用すべきかは変わってきますから、立ち上げ前に十分な検討が必要です。
- セキュリティチーム
- 分散型CSIRT
- 集中型CSIRT
- 統合(分散/集中)型CSIRT
- 調整役CSIRT
このうち「調整役CSIRT」は情報の調整・流通を主な業務とし、インシデント対応の実務作業を行うことは少なく、たとえば「親会社のCSIRTがグループ企業のCSIRTを支援する」というケースに向いているモデルであるため、これからCSIRTを立ち上げようとしている方を対象とする本記事では割愛し、以下ではそれ以外の4つについて説明します。
セキュリティチーム
「セキュリティチーム」は、既存のIT部門やセキュリティ担当チームのメンバーにCSIRTを兼任させるモデルです。平時、メンバーは各自の本業を行い、インシデント発生時にCSIRT要員としてチームを組成、参加するというものです。このモデルは、設置が簡単な一方で、通常業務との調整などが障壁となり、有事の対応が限定的になってしまうケースが見られるなど、兼任であるがゆえのデメリットも存在します。
※以下、各図は一般社団法人JPCERT コーディネーションセンター「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」(2021年11月30日)より
分散型CSIRT
「分散型CSIRT」では、一部またはすべての下位組織のスタッフを、仮想的にCSIRTのメンバー(専任または兼任)として指定します。兼任のメンバーは、自身が所属する部門や部署をベースとして活動し、インシデントが発生した際にCSIRTのメンバーとして機能します。全体の統括と調整は1人の責任者が行い、外部機関とのコミュニケーションもその責任者が担当します。
集中型CSIRT
「集中型CSIRT」は専属のメンバーを中心に、独立した正式な組織として構成したチームです。集中型CSIRTは組織内で発生するすべてのインシデント対応の責任を担い、経営層への報告義務を持ちます。
統合(分散/集中)型CSIRT
「統合(分散/集中)型CSIRT」は、分散型と集中型のハイブリッドで、集中型のような統合力を持ちつつ、下位組織の兼任メンバーをとおして細やかな対応が行えるのがメリットです。一方、インシデントに対応できる体制を組織全体に整えるため人員が不足する可能性も考えられます。
同資料は、統合(分散/集中)型CSIRTを「インシデント対応を優先的に行う必要がある組織では妥当なモデル」だと位置づけています。
CSIRT立ち上げ時の注意点
CSIRTの立ち上げには、経営層の理解が不可欠です。CSIRTの重要性、CSIRTがないことによるリスクなどを説明して、設置の必要性に納得してもらわねばなりません。
またCSIRTを含めたセキュリティ対応組織それぞれが、どのような役割を持ち、どこまでの権限・責任を持つのかを明確にすべきです。これを曖昧にしていると、インシデント対応が遅れて被害の拡大につながったり、対応ノウハウが蓄積できなかったりといったデメリットが生じかねません。そのほか、既存の体制やルールとの整合性を考慮しておくことや、インシデントの影響が複数部門に及んでいても明確な意思決定ができるプロセスを確立することも重要です。
CSIRTメンバーに必要なスキル
前述の「経営リスクと情報セキュリティ ~CSIRT:緊急対応体制が必要な理由~」では、CSIRTメンバーに必要なテクニカルスキルとして、「セキュリティ原則の理解」「脆弱性とそれを悪用する攻撃についての理解」「インターネットに関する基本的な知識」「リスクに関する理解」などがあげられています。
同時にヒューマンスキル、たとえば「明確な指示や取り決めなどがなく、時間的制約がある状況下でも、必要なことを受け入れ、判断できること」「業務内容の異なる部署や、外部組織との対話を円滑にできること」「勉強を続ける姿勢があること」「他のメンバーとの連携能力」なども重要であるとしています。インシデント対応は多くの部門、多くの人と情報を交換し、連携して行っていかねばならないため、コミュニケーションスキルも欠かせないということです。
CSIRT要員に必要なスキル
| タイプ | スキルの概要 |
|---|---|
| ヒューマンスキル |
|
| テクニカルスキル |
|
※JPCERT コーディネーションセンター「経営リスクと情報セキュリティ ~CSIRT:緊急対応体制が必要な理由~」(2021年11月30日)の内容をもとに、一部表記について編集部改訂
IT人材が不足するなか、CSIRTメンバーの確保には困難が予想されますが、自社のCSIRTに必要なスキルに優先度をつけて人選を行っていくことが、より良い組織構築につながると考えられます。
CSIRTのコミュニティ
セキュリティインシデントに対応するには、自社で培った知識・ノウハウのほか、他社の事例や脆弱性情報など、様々な情報が必要になります。こうした情報交換の場の1つとして、日本シーサート協議会があります。正式名称は「一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会」(以下、NCA)です。
NCAの主な活動は、インシデント関連情報、脆弱性情報、攻撃予兆情報などの収集・共有であり、「単独のシーサートだけで活動するのではなく、互いに協調する場を持ち、これまでにない高いレベルでの緊密な連携体制の実現を目指しながら、共通の問題を解決する場を設けること」を目的としています。こうした組織に加盟することで、セキュリティに関する最新情報に触れながら、自社の対策強化を進めていくことが可能となるでしょう。
まとめ
ITを利用する企業・組織にとって、セキュリティインシデントはいつ発生してもおかしくないリスクです。機密情報や個人情報などの情報資産をしっかりと保護する姿勢はもちろん重要ですが、万が一、サイバー攻撃や内部不正などによってその保護が破られ、大きなインシデントが発生してしまった場合に、どうやって被害を食い止めるかまで十分に検討しておくことが、対応の明暗を左右します。CSIRTをはじめとするセキュリティ対応組織の設置、強化は、事業継続のために喫緊の課題といえるでしょう。
参考資料
- 内閣サイバーセキュリティセンター(NISC)「セキュリティポータルサイト」
- 一般社団法人JPCERT コーディネーションセンター「経営リスクと情報セキュリティ ~CSIRT:緊急対応体制が必要な理由~」
- NPO 日本ネットワークセキュリティ協会(JNSA)、日本セキュリティオペレーション事業者協議会(ISOG-J)「セキュリティ対応組織(SOC/CSIRT)の教科書 ~X.1060フレームワークの活用~(第3版)」
- 一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会「日本シーサート協議会とは」
- 関連記事:UNITIS「SOCとは?導入の必要性やセキュリティ組織構築のポイントをわかりやすく解説」(2023年10月5日)↩︎
- 内閣サイバーセキュリティセンター(NISC)「xSIRT(Security Incident Response Team)について」↩︎
- KPMGコンサルティング「KPMGコンサルティング、「サイバーセキュリティサーベイ2022」を発表」(2022年1月19日、2023年11月9日最終確認)↩︎
- 一般社団法人JPCERT コーディネーションセンター「経営リスクと情報セキュリティ ~CSIRT:緊急対応体制が必要な理由~」(2021年11月30日、2023年11月9日最終確認)↩︎
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
最新情報をフォローする
