日本企業がCSIRTを構築するには？ CEO/CISO目線で見たCSIRT構築で必要な勘所

CSIRTはインシデントマネジメントの中核を担う組織

　CSIRTは、情報漏えい、マルウェア感染、Web改ざん、DDos攻撃など、コンピュータセキュリティインシデントに対応する組織の総称だ。山賀正人氏は「インシデントと不正アクセスはイコールではないことに留意すべき」と語る。

　日本国内では、不正アクセス禁止法で、何が不正アクセス行為なのかが定義されている。ところがコンピュータセキュリティインシデントには、攻撃の試みや弱点探査など、それだけでは直接被害を及ぼさないものも含まれている。さらに国ごとに法律、文化が違うため、グローバルでは不正の定義が同一ではない。

　次にCSIRTの分類だが、米国のCERT/CCが出している資料では以下の六つとされている。

• 組織内CSIRT（Internal CSIRT）：組織内で発生したインシデントに対応
• 国際連携CSIRT（National CSIRT）：日本ではJPCERT/CC
• コーディネーションセンター（Coordination Center）：協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
• 分析センター（Analysis Center）：インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
• ベンダチーム（Vendor Team）：自社製品の脆弱性に対応
• インシデントレスポンスプロバイダ（Incident Response Provider）：セキュリティベンダ、SOC事業者など

　この中で、多くの企業人が関心を持っているのは組織内CSIRTだろう。CSIRTはComputer Security Incident Response Teamの略だが、山賀氏は「必ずしも部署である必要はなく、インシデントに対応するための機能という意味を含めている」と語る。発生したインシデントに関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施するなど、企業や組織におけるインシデントマネジメントの中核を担う。

　ではインシデントマネジメントとは何か。インシデント対応というと、事後対応というイメージが強い。しかし実際は、発生前の準備を含めて総合的に対策を検討し、実施することをいう。

　いくら技術が進歩しても、人が行っている以上、インシデントを完全に防ぐという時代はまずやってこない。100%完全な防御は不可能であるという「事故前提」の考えに基づき、充分な準備をしておくことで、事故発生時に慌てることなく速やかに対応し、被害を最小限に抑えることを目的とする。

　ここで山賀氏は、「セキュリティインシデントの情報を受け付ける窓口を設置し、自社Webページのトップにその存在を明示すべき」と提言した。なぜなら情報漏えいの7〜8割が、外部からの通報で発覚しているからだ。インシデント情報が入ってきたら、すぐに社内展開できるフレームワークがあれば、すみやかに対応ができる。