Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「運用を継続できる」ことを意識して構築しよう!CSIRTを適切に実装する方法【後編】

  2015/09/24 06:00

 前回、CSIRTとは「そもそも何なのか」を紹介しましたが、今回はそれを踏まえてCSIRTをどのように実装すべきかを国内で既に活動しているCSIRTの傾向を例に挙げて解説します。

1つとして同じCSIRTはない!

 CSIRTを構築するのが難しいとされる理由の1つとして「CSIRTに標準規格のようなものがないから」と言われることがよくあります。しかし、規格がないということは逆に企業や組織ごとに自由に実装してよいという意味であり、実際にCSIRTの実装の仕方は企業や組織によって大きく異なります。

 私がCSIRT研究家として数々のCSIRTを調査した経験から言えば、1つとして同じCSIRTは存在しないと言っても過言ではありません。また、同業他社を真似すればよいとの声も耳にしますが、必ずしも有効とは言えません。

 同業であれば、似たようなシステムを使っていたり、規制などの法的な面で同じような縛りがあったりするなど、確かに互いに参考になる部分はあるかもしれません。それでも、具体的なCSIRTの実装は同業であっても大きく異なり、むしろ異業種の方が参考になるケースも珍しくないのです。

 はっきりと言えるのは、CSIRTを構築するにあたっては、同業に限らず様々なCSIRTの話を聞き、参考にできるところがあれば部分的に参考にするのが最も有効だということです。なお、日本国内のCSIRTのコミュニティである日本シーサート協議会(以降、NCA)では正式加盟の前にプレユーザとして登録することで、CSIRT構築前の担当者の方でも参加できるワーキンググループがあります。その会合に積極的に参加し、他のCSIRTと交流するところから始めるのも1つの方法でしょう。

 CSIRTそのものに標準規格はありませんが、企業や組織に求められるインシデント対応機能(および能力)についてはいくつかのガイドラインが存在します。

 あくまで「ガイドライン」として参考資料程度のものと捉え、必要以上に縛られる必要はありませんが、まずはこれらの資料(のどれか1つ)に目を通し、自組織の既存のインシデント対応体制に何が足りないかを確認した上で、体制の中のどこからどこまでをCSIRTと定義すべきかを検討するのも1つの方法です。

 なお、日本ではオープンガバメント・コンソーシアムが「NIST SP800-61」をベースに「組織対応力ベンチマークチェックシート」及び「組織対応力ベンチマーク解説書」を作成して公開しています。これを使って既存の対応体制を確認し、足りない機能や能力が何かを整理すると良いでしょう。

一般社団法人オープンガバメント・コンソーシアム
プレスリリース:「組織対応力ベンチマーク」発表に関して (2015年7月1日)

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


関連リンク

著者プロフィール

  • 山賀 正人(ヤマガ マサヒト)

    千葉大学の助手を勤めた後、2001年から2006年までJPCERTコーディネーションセンターに勤務、2006年からはフリーランスのライター・コンサルタントとして活動する一方、CSIRT研究家として様々な企業のCSIRT活動に関する調査研究とともに各種講演を行なっている。

バックナンバー

連載:CSIRTを理解して適切に実装する!組織内CSIRT入門
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5