昨今のサイバー攻撃による被害の増加に伴い、コンピュータセキュリティインシデントに対応するための専門チームであるCSIRT(Computer Security Incident Response Team)を企業や組織内に設置するケースが増えています。しかし、CSIRTには「標準規格」のようなものがないこともあり、CSIRTについて正しく理解されておらず、結果的に「使い物にならないCSIRT」が構築されてしまっていることがままあります。そこで今回から2回に渡り、CSIRTとは何であり、どのように構築すればよいのかを解説します。今回はまずCSIRTとは何かについて世の中によくある誤解を解きながら紹介します。
CSIRTとはそもそも何か?
CSIRTとは「Computer Security Incident Response Team」の略であり、そこに含まれる「Computer Security Incident(以降、インシデント)」とは、日本最初のCSIRTでもある公的機関JPCERTコーディネーションセンター(以降、JPCERT/CC)のWebサイトにおいて以下のように説明されています。
コンピュータセキュリティインシデントとは、「情報システムの運用におけるセキュリティ上の問題として捉えられる事象」です。コンピュータセキュリティインシデントの例として、情報流出、フィッシングサイト、不正侵入、マルウエア感染、Web改ざん、DoS(DDoS)などがあります。
ここで注意すべきなのは、いわゆる「不正アクセス」とは異なり、攻撃の試みなど実害のないものも含んでいる点です。例えば、日本において「不正アクセス」とは、「不正アクセス禁止法」によって定義されており、簡単に説明すれば、実害のあるものであり、攻撃の試みのような実害のないものは含まれていません※。攻撃の試みは、それ自体に実害はないものの、攻撃の予兆を示す可能性もあることから、一般的にインシデントとして取り扱われます。
※注記:なお、現在の不正アクセス禁止法では、フィッシングやID/パスワードの不正取得といった、それ自体は直接の実害を生まないものの、実害に繋がる可能性が高い行為も処罰の対象となっています。
CSIRTとは文字通り「インシデントに対応するチーム」なわけですが、実はCSIRTには様々なタイプがあります。世界最初のCSIRTである米国CERT Coordination Center(以降、CERT/CC、なお「CERT」は登録商標)のCSIRT FAQによれば、以下の6種類に分類されます。
組織内CSIRT(Internal CSIRT):組織内で発生したインシデントに対応
国際連携CSIRT(National CSIRT):日本ではJPCERT/CCなど
コーディネーションセンター(Coordination Center):協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
分析センター(Analysis Center):インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
ベンダチーム(Vendor Team):自社製品の脆弱性に対応
インシデントレスポンスプロバイダ(Incident Response Provider):いわゆるセキュリティベンダ、SOC事業者など
今回解説するのは、上記のうち、組織内で発生したインシデントに対応する「組織内CSIRT」です。
CSIRTの最後のTがTeam(チーム)であることから、CSIRTを何らかの部署として構築しなければならないと思われている方が少なくないのですが、それは違います。
実は2000年代初頭まではCSIRTとは別にCSIRC(Computer Security Incident Response Capability)という言葉も使われていたのですが、今ではCSIRCという言葉はほとんど使われることがなくなり、代わりにCSIRCの意味を含めてCSIRTと呼ばれることが一般的となっています。つまり、CSIRTとはチームでも機能でも良いということになります。
CSIRCという言葉が使われなくなった理由ははっきりとしていませんが、インシデント対応において最も重要な「チームワーク」を意識するためには「機能」と表現するよりも「チーム」と表現した方が担当者間の一体感や連帯感を増すことができるからではないかと私は考えています。
いずれにせよ、実際のインシデント対応においては誰か1人のスーパーエンジニアがいればよいというものではなく、関係者全員のチームワークこそが肝。だからこそ実装形態がどのようなものであっても「チーム」と表現するのだと思っていただければよいでしょう。
ここで改めて、CSIRT、すなわち「インシデントに対応するチーム」とは何かを考えてみます。「対応する」という表現からどうしてもインシデント発生後の活動のみをイメージしがちですが、それは違います。ここでいう「対応する」とは事前の準備も含むのです。
CSIRTの活動は消防署に喩えられることが多いのですが、消防署の活動は、消火という「事後対応」だけでなく、防火対策という「事前対応」も含むことはよく知られています。同じようにCSIRTについても、インシデント発生前の対応、例えば、これまでに組織内外で発生したインシデントに関する情報を集約・蓄積し、場当たり的でない包括的な対策を検討・実施するのもCSIRTの重要な役割の1つです。
このような事前の準備を含めた包括的な対応全般を一般的に「インシデントマネジメント」と呼びます。言い換えればCSIRTとは「インシデントマネジメントの中核を担うもの」ということができます。ただし、CSIRTはあくまで中核を担うだけであり、必ずしもインシデントマネジメントの全てを担う必要はありません。
この記事は参考になりましたか?
- 関連リンク
- CSIRTを理解して適切に実装する!組織内CSIRT入門連載記事一覧
-
- 「運用を継続できる」ことを意識して構築しよう!CSIRTを適切に実装する方法【後編】
- CSIRTとはそもそも何か?よくある誤解とCSIRTの本質を理解しよう【前編】
- この記事の著者
-
山賀 正人(ヤマガ マサヒト)
千葉大学の助手を勤めた後、2001年から2006年までJPCERTコーディネーションセンターに勤務、2006年からはフリーランスのライター・コンサルタントとして活動する一方、CSIRT研究家として様々な企業のCSIRT活動に関する調査研究とともに各種講演を行なっている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
