セキュリティ

/

 

海外では進んでいる「CSIRT」設置・運用をどう進めるべきか?

CSIRT

不正アクセスやマルウェア感染といった脅威が日々存在感を高める昨今、国内企業でもCSIRT(シーサート)の議論が広まりつつあります。セキュリティに関する事故対応チームを指すCSIRTですが、実際に設置・運用を進める企業はまだまだ少数。「組織体制のつくり方」に関する情報は、驚くほど知られていません。

今回は、CSIRTが求められる背景と、運用開始に向けた具体策をご紹介します。

万が一に備える「CSIRT」

Computer Security Incident Response Team の略語である「CSIRT」。サイバー攻撃によって引き起こされるセキュリティ事故が増え続ける昨今、「セキュリティ事故が起こるもの」という考えを前提として活動するチームがCSIRTです。

CSIRTの起源は1988年のアメリカ・カーネギーメロン大学といわれていますが、1996年には日本国内でも「JPCERT/CC」という組織が設立されています。そして、国内でCSIRTの知名度が広まったのは、2015年に日本経済団体連合が発表した「サイバーセキュリティ対策の強化に向けた提言」といえるでしょう。この頃から徐々にCISO(最高情報セキュリティ責任者)を設置する企業も増え始め、CSIRTの必要性も知られるようになってきました。

CSIRTとSOCを混同してはいけない

CSIRTについて考えるとき、混同しやすい組織体として「SOC:Security Operation Center(ソック)」があります。しかし、この組織をCSIRTと混同してはいけません。

SOCの主な役割は、企業内で情報システムの脅威の監視・分析を行うことです。「検知すること」に重点が置かれているともいえるでしょう。一方で、CSIRTは「消防署」に例えられることが多く、「セキュリティ事故発生時の対応」が重要な役割となります。役割が異なると、業務プロセスのあるべき姿も大きく異なるため、この2つは明確に区別することが大切です。

日本での設置は20%程度しかない

次に、国内企業のCSIRT設置状況を見てみましょう。

経済産業省とIPAが2017年に共同で実施した調査によると、「日本でのCSIRT設置率」は専任・兼任合わせて66.8%とされています。それに対して、欧州では78.0%、米国では90.1% となっており、海外と比較してCSIRTの設置が十分に進んでいない状況が見て取れます。

加えて、「CSIRTの有効性に関する満足度」を見てみると、「期待したレベルを満たしていると感じている」と回答した割合は、日本が18.4%、欧州が45.4%、米国が60.8%となっています。このように、日本国内では仮にCSIRTを設置していても、期待したレベルを満たしている企業は極めて少ないといえます。

CSIRT設置が必要なワケ

国内での普及はまだまだこれからといえるCSIRT。そもそも、何故その設置が必要なのでしょうか。その意義を考える上では、CSIRTの役割をきちんと捉えることが必要となります。

CSIRTの役割は大きく2つです。1つは「組織内部への技術的支援やノウハウを提供」、もう1つは「組織外部との調整や情報収集」です。標的型攻撃や未知のマルウェアなど、サイバー攻撃が巧妙化する今、特に1つ目の役割が大きな意味を持つといっても過言ではありません。

セキュリティの進歩とサイバー攻撃の進化はいたちごっこが続いており、今や「マルウェアに感染しない」ことは不可能とまでいわれています。だからこそ、マルウェアの感染後に的確な対策を行うことができるCSIRTの存在が重要視されているのです。

特に、2020年は東京オリンピックの開催に乗じて世界中から様々なサイバー攻撃が仕掛けられると予想されます。こういったタイミングだからこそ、組織や事業が致命的なダメージを負うことがないように、CSIRTの準備を速やかに進めることが重要といえます。

では、CSIRTの設置はどのように進めればよいのでしょうか?

CSIRTの設置プロセス

CSIRTの具体的な設置プロセスを考える上では、JPCERT/CCが発行している「CSIRTガイド」が参考になります。

「CSIRTガイド」によると、CSIRTの組織例として次の3つが挙げられています。

  1. 独立部署:独立した部署としてCSIRTを設置する方法
  2. 部署横断:複数の部署から横断的にCSIRTを構成する方法
  3. 個人:部署にとらわれず個人単位で協力し、CSIRTを構成する方法

そして、同ガイドでは「組織内 CSIRT の構築プロセス」も掲載されており、次の8ステップでの進行が示されています。

  1. 経営層から理解を得る
  2. 組織内の現状把握
  3. 組織内 CSIRT 構築活動のためのチーム結成
  4. 組織内 CSIRT の設計と計画
  5. 必要な予算やリソースの獲得
  6. 組織内 CSIRT 関連規則類の整備
  7. CSIRT 要員(スタッフ)への教育
  8. CSIRT の告知と活動開始

出典:JPCERTコーディネーションセンター(JPCERT/CC) 「CSIRTガイド」

上記からもわかる通り、CSIRTには具体的なベストプラクティスがあるわけではなく、組織ごとに最適な形を追求し、構成を検討することが必要といえます。しかし、個人的な勉強に終始し、活動が停滞してしまうことがないように、経営層が参画して組織づくりを行っていくことは必須要件といえるでしょう。

万が一に備えるセキュリティ体制を

前述の通り、マルウェア感染などのセキュリティ事故は「防げないもの」と認識し、対策を講じることが必要です。だからこそ、その規模や形態に捉われすぎることなく、CSIRT設置・対策を進めることが重要といえます。

しかし、「CSIRTに選任の人材を配置するだけの人的リソースが足りない」「専門知識を持ったスタッフがいない」「他部門と兼任であるためCSIRTの活動に注力できない」といった各社の事情が存在することも事実です。そこで、「マルウェアの侵入を許しても、社内の情報資産を守る」というコンセプトのもとで機能するツールが重要な意味を持つことになります。

大興電子通信が提供するAppGuardは、「マルウェアの攻撃を防ぐ」という考えに基づき、最新セキュリティ対策を提供するセキュリティソリューションです。従来型のセキュリティツール(検知型エンドポイントセキュリティ)が「侵入させない」という観点に基づいていることに対して、AppGuardは「侵入されても攻撃させない」という発想に基づいています。

万が一、マルウェアに感染してもインシデント発生のリスクを減らすことができれば、業務へのダメージを最小限に抑え、対策を講じることができます。また、未知の脅威に対する情報をやみくもに収集するのではなく、戦略的なセキュリティ対策を立てることも可能になるでしょう。

CSIRT の新規設置を検討されている企業様や、業務負荷を最小化しつつCSIRT の活動を継続したいとお考えの企業様は、お気軽に弊社までご相談ください。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    IcedIDとは? Emotetに酷似したマルウェアの相違点・対策を解説

    かつてセキュリティ対策というと、ウイルス対策ソフトを導入したり、フ…

  2. 明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    セキュリティ

    明日は自分が被害者!?メールを悪用したサイバー攻撃へのセキュリティ対策とは?

    サイバー攻撃によるウイルス感染の原因の多くはメール経由とされていま…

  3. セキュリティ

    セキュリティ対策におけるプロセス監視の考え方

    セキュリティ強化を考えているのであれば、プロセスの監視・隔離という…

  4. サプライチェーン攻撃とは?具体的な攻撃手口と参考資料を徹底解説

    セキュリティ

    サプライチェーン攻撃とは?具体的な攻撃手口と参考資料を徹底解説

    サプライチェーン攻撃とは、組織間の業務上の繋がりを悪用して、セキュ…

  5. セキュリティ

    知らないとまずい!2020年のセキュリティ脅威8選

    日々進化をし続けるサイバー攻撃の脅威。2020年現在では、これまで…

  6. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。

本記事に関連するタグ

APPGURD

APP GUARD