1つとして同じCSIRTはない!
CSIRTを構築するのが難しいとされる理由の1つとして「CSIRTに標準規格のようなものがないから」と言われることがよくあります。しかし、規格がないということは逆に企業や組織ごとに自由に実装してよいという意味であり、実際にCSIRTの実装の仕方は企業や組織によって大きく異なります。
私がCSIRT研究家として数々のCSIRTを調査した経験から言えば、1つとして同じCSIRTは存在しないと言っても過言ではありません。また、同業他社を真似すればよいとの声も耳にしますが、必ずしも有効とは言えません。
同業であれば、似たようなシステムを使っていたり、規制などの法的な面で同じような縛りがあったりするなど、確かに互いに参考になる部分はあるかもしれません。それでも、具体的なCSIRTの実装は同業であっても大きく異なり、むしろ異業種の方が参考になるケースも珍しくないのです。
はっきりと言えるのは、CSIRTを構築するにあたっては、同業に限らず様々なCSIRTの話を聞き、参考にできるところがあれば部分的に参考にするのが最も有効だということです。なお、日本国内のCSIRTのコミュニティである日本シーサート協議会(以降、NCA)では正式加盟の前にプレユーザとして登録することで、CSIRT構築前の担当者の方でも参加できるワーキンググループがあります。その会合に積極的に参加し、他のCSIRTと交流するところから始めるのも1つの方法でしょう。
- 参考資料:日経NETWORK「CSIRT奮闘記」
CSIRTそのものに標準規格はありませんが、企業や組織に求められるインシデント対応機能(および能力)についてはいくつかのガイドラインが存在します。
- 米国国立標準技術研究所(NIST)Special Publications(SP800シリーズ)
- ISO/IEC 27035:2011
Information technology ― Security techniques ― Information security incident management
あくまで「ガイドライン」として参考資料程度のものと捉え、必要以上に縛られる必要はありませんが、まずはこれらの資料(のどれか1つ)に目を通し、自組織の既存のインシデント対応体制に何が足りないかを確認した上で、体制の中のどこからどこまでをCSIRTと定義すべきかを検討するのも1つの方法です。
なお、日本ではオープンガバメント・コンソーシアムが「NIST SP800-61」をベースに「組織対応力ベンチマークチェックシート」及び「組織対応力ベンチマーク解説書」を作成して公開しています。これを使って既存の対応体制を確認し、足りない機能や能力が何かを整理すると良いでしょう。
一般社団法人オープンガバメント・コンソーシアム
プレスリリース:「組織対応力ベンチマーク」発表に関して (2015年7月1日)
