CSIRT
掲載:2015年10月09日
用語集
CSIRTとは、”Computer Security Incident Response Team”の略で、インシデントが発生した際の被害を最小限に抑えるための活動を行うチームのことです。その名にコンピュータという言葉が含まれていることからもわかりますように、サーバやパソコン、ネットワークなどITシステムに関係したインシデントへの対応に特化した組織の総称です。
ちなみに、この言葉は決して新しいものではなく、古くは、インターネットが広がり始めた1980年代後半ごろから、使われてきました。インターネットの登場によって、多くのコンピュータ同士が繋がるようになり、コンピュータウイルスやハッキングなど、物理的な距離の壁をいとも簡単に超えた攻撃が誕生したことが背景にあります。
ISO27001のインシデント対応体制との違い
では、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO27001が示すインシデント対応体制とは何が違うのでしょうか。
インシデント発生後の対応という観点では、同じ位置付けの組織と言えます。異なるのは、ISMSのインシデント対応が、情報セキュリティ、すなわち、ITシステムのみならず、人的、物理的な要因で発生する、重要な情報に関わるインシデント全てを対象としているのに対し、CSIRTはあくまでもITシステムに関わるインシデントのみを対象としている点です。
組織が意識すべきターゲットを絞ることで、高度化・複雑化するサイバー攻撃などに対して、より迅速な対応を期待することができます。さらに、対応が迅速化できれば、まだ攻撃を受けていない他組織への警告発信や二次攻撃への備えを可能にし、被害拡大の防止にも貢献することができるのです。
CSIRTの必要性
近年、CSIRTが改めて注目され始めています。なぜでしょうか。
攻撃機会と規模の増大が大きな要因です。ギガという言葉が当たり前になりつつある今日、インターネットが登場した当時に比べ、ネットワークが瞬時に転送できるデータ量はとてつもなく大きくなっています。また、IoT(Internet of Things)という言葉が登場してきたように、コンピュータのみならず、家電や自動車、飛行機、電力計など、ありとあらゆる形あるモノがつながり、パソコンだけでなく今やスマートフォン一つで全てを操作できる時代に変わりつつあります。つまり、企業はいつどこから狙われるのか分からないため休みない監視が求められます。そして、一たび攻撃を受ければ、その被害は想像を超えるものになる可能性が高く、鎮火に向けた一早い行動が求められるのです。
だからこそ、ITシステムに特化したCSIRTが意義を持つわけです。
CSIRTの主な活動内容
CSIRTは、事後的な対応を目的とした組織ではありますが、当然ながらインシデントが起こる前、つまり日頃からインシデントに備えた活動が重要となります。具体的には例えば、攻撃が行われることを事前に察知するための情報収集や、セキュリティ欠陥に関する情報収集など様々です。下記に、一般的な活動事項を挙げておきます。
- 脆弱性、社内外のセキュリティインシデント、セキュリティに関する技術動向に関する情報の収集
- インシデントの予防対策
- セキュリティイベントのモニタリング
- インシデント発生した際の被害局所化対応
- セキュリティ教育・啓蒙
- セキュリティ製品の製品評価
CSIRT整備に向けたポイント
組織にとって守りたいシステムは何か?(例えば、社内インフラなのか、顧客に提供しているサービスなのか)を明確にし、どのような体制が良いのか?(例えば、専任とするのか、情報システム部門を中心とした仮想組織にするのか)、どの組織と連携するのか(例えば、同業他社のCSIRT、日本シーサート協議会※などの団体)などを検討し、組織に合わせた運用をしていくことが望まれます。
CSIRTを構築するための国際的な規格は存在しませんが、CSIRTを構築する際のガイドとして日本シーサート協議会が発行している「CSIRT スタータキット」と呼ばれるものがあります。企業におかれましてはこうしたものを参考にするとより効果的効率的に体制整備を進めることが可能となるでしょう。
※2007年3月に、CSIRT 活動の助けとなる活動の推進や、緊密な連携体制の構築などを目的として設立された協議会