Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

日本企業がCSIRTを構築するには? CEO/CISO目線で見たCSIRT構築で必要な勘所

2015/07/27 08:05

 企業や組織がサイバー・セキュリティに関して対処する組織としてCSIRT(シーサート)を構築する企業が増えてきている。CSIRT研究家である山賀正人氏のセッションでは「CSIRTとは、そもそも何で、従来からあるISMSなどの考え方や情報セキュリティの組織と何が違うのか」という観点でCSIRTの基本から実践までが解説され、同時にCEO/CISO目線での組織や段取り、教訓が紹介された。山賀氏が登壇した「ガートナー セキュリティ & リスク・マネジメント サミット 2015」での講演の概要を紹介する。

CSIRTはインシデントマネジメントの中核を担う組織

 CSIRTは、情報漏えい、マルウェア感染、Web改ざん、DDos攻撃など、コンピュータセキュリティインシデントに対応する組織の総称だ。山賀正人氏は「インシデントと不正アクセスはイコールではないことに留意すべき」と語る。

CSIRT研究家(明治大学客員研究員) JPCERT/CC専門委員
日本シーサート協議会専門委員 山賀 正人氏

 日本国内では、不正アクセス禁止法で、何が不正アクセス行為なのかが定義されている。ところがコンピュータセキュリティインシデントには、攻撃の試みや弱点探査など、それだけでは直接被害を及ぼさないものも含まれている。さらに国ごとに法律、文化が違うため、グローバルでは不正の定義が同一ではない。

 次にCSIRTの分類だが、米国のCERT/CCが出している資料では以下の六つとされている。

  • 組織内CSIRT(Internal CSIRT):組織内で発生したインシデントに対応
  • 国際連携CSIRT(National CSIRT):日本ではJPCERT/CC
  • コーディネーションセンター(Coordination Center):協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
  • 分析センター(Analysis Center):インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
  • ベンダチーム(Vendor Team):自社製品の脆弱性に対応
  • インシデントレスポンスプロバイダ(Incident Response Provider):セキュリティベンダ、SOC事業者など

 この中で、多くの企業人が関心を持っているのは組織内CSIRTだろう。CSIRTはComputer Security Incident Response Teamの略だが、山賀氏は「必ずしも部署である必要はなく、インシデントに対応するための機能という意味を含めている」と語る。発生したインシデントに関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施するなど、企業や組織におけるインシデントマネジメントの中核を担う。

 ではインシデントマネジメントとは何か。インシデント対応というと、事後対応というイメージが強い。しかし実際は、発生前の準備を含めて総合的に対策を検討し、実施することをいう。

参考:インシデントマネジメントとは 出所:JPCERT/CC「インシデントハンドリングマニュアル(PDF)

 いくら技術が進歩しても、人が行っている以上、インシデントを完全に防ぐという時代はまずやってこない。100%完全な防御は不可能であるという「事故前提」の考えに基づき、充分な準備をしておくことで、事故発生時に慌てることなく速やかに対応し、被害を最小限に抑えることを目的とする。

 ここで山賀氏は、「セキュリティインシデントの情報を受け付ける窓口を設置し、自社Webページのトップにその存在を明示すべき」と提言した。なぜなら情報漏えいの7〜8割が、外部からの通報で発覚しているからだ。インシデント情報が入ってきたら、すぐに社内展開できるフレームワークがあれば、すみやかに対応ができる。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:ニッポンのシーサート

この記事もオススメ

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5