全面改訂した「CSIRTスタータキット Ver3.0」を公表 NCA
日本シーサート協議会(NCA)はこのほど、全面改訂した「CSIRTスタータキット Ver3.0」を公表しました。2011年のVer2.0公表から14年が経過し、最新の動向を反映させるとともに、利用者目線でわかりやすく再構成しました。用語の説明やコラムなども盛り込まれました。
「CSIRTスタータキット」は、CSIRTをこれから構築しようとする人向けに、手順やポイントを解説した実践的な手引書です。CSIRT、インシデントといった基礎的な用語の定義から始まり、CSIRTの構築要件や運用に欠かせない重要な事項を体系的に示しています。
NCAはCSIRTを次のように定義しています。
「コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。」
この定義を踏まえ、「自分たちのCSIRTが扱うインシデントを定義することはとても重要」と指摘しています。どのような事象をインシデントとみなすかは、組織の規模や目的によって変わります。CSIRTが情報システムに関わる多岐にわたる問題に対応する過程で、いわゆる「なんでも屋」となり本来の活動が滞るリスクを避けるため、自組織のCSIRTが扱うインシデントの範囲を明確にして定義することの重要性を強調しています。
文書では、大きく3つに分類されるCSIRTの基本的なモデル(部門内モデル、バーチャル組織モデル、独立組織モデル)や、CSIRT構築にあたって踏むべき6つのステップを詳説しています。また、経済産業省の「サイバーセキュリティ経営ガイドライン」、NIST(米国立標準技術研究所)の「SP800-61 コンピュータセキュリティインシデント対応ガイド」、FIRST(Forum of Incident Response and Security Teams)の「FIRST CSIRT Services Framework」、JPCERT/CC(JPCERTコーディネーションセンター)の「CSIRT構築活動のためのスコープ記述書」といった国内外の主要なガイドラインをリンク付きで紹介しています。
CSIRTの成熟度評価モデルとしては「SIM3」の活用も推奨しました。SIM3は、Open CSIRT Foundationが運営し、オンラインツール「SIM3 Online Tool」による自己評価が可能です。「FIRST Baseline」のプロファイルを選択して自組織のCSIRTを自己評価することを紹介しました。
さらに、CSIRTが誕生した経緯や変遷を知ることが、CSIRTの構築・運用においても有効だとしてNCAは「CSIRT小史」を新たに作成、公開しました。1988年のモリスワーム事件に端を発するCSIRT誕生の背景から現在に至る変遷や活動の広がりをわかりやすくまとめています。
