
企業や組織がサイバー・セキュリティに関して対処する組織としてCSIRT(シーサート)を構築する企業が増えてきている。CSIRT研究家である山賀正人氏のセッションでは「CSIRTとは、そもそも何で、従来からあるISMSなどの考え方や情報セキュリティの組織と何が違うのか」という観点でCSIRTの基本から実践までが解説され、同時にCEO/CISO目線での組織や段取り、教訓が紹介された。山賀氏が登壇した「ガートナー セキュリティ & リスク・マネジメント サミット 2015」での講演の概要を紹介する。
CSIRTはインシデントマネジメントの中核を担う組織
CSIRTは、情報漏えい、マルウェア感染、Web改ざん、DDos攻撃など、コンピュータセキュリティインシデントに対応する組織の総称だ。山賀正人氏は「インシデントと不正アクセスはイコールではないことに留意すべき」と語る。

CSIRT研究家(明治大学客員研究員) JPCERT/CC専門委員
日本シーサート協議会専門委員 山賀 正人氏
日本国内では、不正アクセス禁止法で、何が不正アクセス行為なのかが定義されている。ところがコンピュータセキュリティインシデントには、攻撃の試みや弱点探査など、それだけでは直接被害を及ぼさないものも含まれている。さらに国ごとに法律、文化が違うため、グローバルでは不正の定義が同一ではない。
次にCSIRTの分類だが、米国のCERT/CCが出している資料では以下の六つとされている。
- 組織内CSIRT(Internal CSIRT):組織内で発生したインシデントに対応
- 国際連携CSIRT(National CSIRT):日本ではJPCERT/CC
- コーディネーションセンター(Coordination Center):協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
- 分析センター(Analysis Center):インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
- ベンダチーム(Vendor Team):自社製品の脆弱性に対応
- インシデントレスポンスプロバイダ(Incident Response Provider):セキュリティベンダ、SOC事業者など
この中で、多くの企業人が関心を持っているのは組織内CSIRTだろう。CSIRTはComputer Security Incident Response Teamの略だが、山賀氏は「必ずしも部署である必要はなく、インシデントに対応するための機能という意味を含めている」と語る。発生したインシデントに関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施するなど、企業や組織におけるインシデントマネジメントの中核を担う。
ではインシデントマネジメントとは何か。インシデント対応というと、事後対応というイメージが強い。しかし実際は、発生前の準備を含めて総合的に対策を検討し、実施することをいう。

参考:インシデントマネジメントとは 出所:JPCERT/CC「インシデントハンドリングマニュアル(PDF)」
いくら技術が進歩しても、人が行っている以上、インシデントを完全に防ぐという時代はまずやってこない。100%完全な防御は不可能であるという「事故前提」の考えに基づき、充分な準備をしておくことで、事故発生時に慌てることなく速やかに対応し、被害を最小限に抑えることを目的とする。
ここで山賀氏は、「セキュリティインシデントの情報を受け付ける窓口を設置し、自社Webページのトップにその存在を明示すべき」と提言した。なぜなら情報漏えいの7〜8割が、外部からの通報で発覚しているからだ。インシデント情報が入ってきたら、すぐに社内展開できるフレームワークがあれば、すみやかに対応ができる。
この記事は参考になりましたか?
- ニッポンのシーサート連載記事一覧
-
- なぜジャパンネット銀行はセキュリティ対策ノウハウを惜しみなく披露するのか?
- 他社との交流機会を最大限活用―ヤマハ発動機のCSIRT創設メンバーに聞く、組織内CSIRT...
- 日本企業がCSIRTを構築するには? CEO/CISO目線で見たCSIRT構築で必要な勘所
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア