CSIRTはインシデントマネジメントの中核を担う組織
CSIRTは、情報漏えい、マルウェア感染、Web改ざん、DDos攻撃など、コンピュータセキュリティインシデントに対応する組織の総称だ。山賀正人氏は「インシデントと不正アクセスはイコールではないことに留意すべき」と語る。
CSIRT研究家(明治大学客員研究員) JPCERT/CC専門委員
日本シーサート協議会専門委員 山賀 正人氏
日本国内では、不正アクセス禁止法で、何が不正アクセス行為なのかが定義されている。ところがコンピュータセキュリティインシデントには、攻撃の試みや弱点探査など、それだけでは直接被害を及ぼさないものも含まれている。さらに国ごとに法律、文化が違うため、グローバルでは不正の定義が同一ではない。
次にCSIRTの分類だが、米国のCERT/CCが出している資料では以下の六つとされている。
- 組織内CSIRT(Internal CSIRT):組織内で発生したインシデントに対応
- 国際連携CSIRT(National CSIRT):日本ではJPCERT/CC
- コーディネーションセンター(Coordination Center):協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
- 分析センター(Analysis Center):インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
- ベンダチーム(Vendor Team):自社製品の脆弱性に対応
- インシデントレスポンスプロバイダ(Incident Response Provider):セキュリティベンダ、SOC事業者など
この中で、多くの企業人が関心を持っているのは組織内CSIRTだろう。CSIRTはComputer Security Incident Response Teamの略だが、山賀氏は「必ずしも部署である必要はなく、インシデントに対応するための機能という意味を含めている」と語る。発生したインシデントに関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施するなど、企業や組織におけるインシデントマネジメントの中核を担う。
ではインシデントマネジメントとは何か。インシデント対応というと、事後対応というイメージが強い。しかし実際は、発生前の準備を含めて総合的に対策を検討し、実施することをいう。
参考:インシデントマネジメントとは 出所:JPCERT/CC「インシデントハンドリングマニュアル(PDF)」
いくら技術が進歩しても、人が行っている以上、インシデントを完全に防ぐという時代はまずやってこない。100%完全な防御は不可能であるという「事故前提」の考えに基づき、充分な準備をしておくことで、事故発生時に慌てることなく速やかに対応し、被害を最小限に抑えることを目的とする。
ここで山賀氏は、「セキュリティインシデントの情報を受け付ける窓口を設置し、自社Webページのトップにその存在を明示すべき」と提言した。なぜなら情報漏えいの7〜8割が、外部からの通報で発覚しているからだ。インシデント情報が入ってきたら、すぐに社内展開できるフレームワークがあれば、すみやかに対応ができる。
