不正アクセスやマルウェア感染といった脅威が日々存在感を高める昨今、国内企業でもCSIRT(シーサート)の議論が広まりつつあります。セキュリティに関する事故対応チームを指すCSIRTですが、実際に設置・運用を進める企業はまだまだ少数。「組織体制のつくり方」に関する情報は、驚くほど知られていません。
今回は、CSIRTが求められる背景と、運用開始に向けた具体策をご紹介します。
ページコンテンツ
万が一に備える「CSIRT」
Computer Security Incident Response Team の略語である「CSIRT」。サイバー攻撃によって引き起こされるセキュリティ事故が増え続ける昨今、「セキュリティ事故が起こるもの」という考えを前提として活動するチームがCSIRTです。
CSIRTの起源は1988年のアメリカ・カーネギーメロン大学といわれていますが、1996年には日本国内でも「JPCERT/CC」という組織が設立されています。そして、国内でCSIRTの知名度が広まったのは、2015年に日本経済団体連合が発表した「サイバーセキュリティ対策の強化に向けた提言」といえるでしょう。この頃から徐々にCISO(最高情報セキュリティ責任者)を設置する企業も増え始め、CSIRTの必要性も知られるようになってきました。
CSIRTとSOCを混同してはいけない
CSIRTについて考えるとき、混同しやすい組織体として「SOC:Security Operation Center(ソック)」があります。しかし、この組織をCSIRTと混同してはいけません。
SOCの主な役割は、企業内で情報システムの脅威の監視・分析を行うことです。「検知すること」に重点が置かれているともいえるでしょう。一方で、CSIRTは「消防署」に例えられることが多く、「セキュリティ事故発生時の対応」が重要な役割となります。役割が異なると、業務プロセスのあるべき姿も大きく異なるため、この2つは明確に区別することが大切です。
日本での設置は20%程度しかない
次に、国内企業のCSIRT設置状況を見てみましょう。
経済産業省とIPAが2017年に共同で実施した調査によると、「日本でのCSIRT設置率」は専任・兼任合わせて66.8%とされています。それに対して、欧州では78.0%、米国では90.1% となっており、海外と比較してCSIRTの設置が十分に進んでいない状況が見て取れます。
加えて、「CSIRTの有効性に関する満足度」を見てみると、「期待したレベルを満たしていると感じている」と回答した割合は、日本が18.4%、欧州が45.4%、米国が60.8%となっています。このように、日本国内では仮にCSIRTを設置していても、期待したレベルを満たしている企業は極めて少ないといえます。
CSIRT設置が必要なワケ
国内での普及はまだまだこれからといえるCSIRT。そもそも、何故その設置が必要なのでしょうか。その意義を考える上では、CSIRTの役割をきちんと捉えることが必要となります。
CSIRTの役割は大きく2つです。1つは「組織内部への技術的支援やノウハウを提供」、もう1つは「組織外部との調整や情報収集」です。標的型攻撃や未知のマルウェアなど、サイバー攻撃が巧妙化する今、特に1つ目の役割が大きな意味を持つといっても過言ではありません。
セキュリティの進歩とサイバー攻撃の進化はいたちごっこが続いており、今や「マルウェアに感染しない」ことは不可能とまでいわれています。だからこそ、マルウェアの感染後に的確な対策を行うことができるCSIRTの存在が重要視されているのです。
特に、2020年は東京オリンピックの開催に乗じて世界中から様々なサイバー攻撃が仕掛けられると予想されます。こういったタイミングだからこそ、組織や事業が致命的なダメージを負うことがないように、CSIRTの準備を速やかに進めることが重要といえます。
では、CSIRTの設置はどのように進めればよいのでしょうか?
CSIRTの設置プロセス
CSIRTの具体的な設置プロセスを考える上では、JPCERT/CCが発行している「CSIRTガイド」が参考になります。
「CSIRTガイド」によると、CSIRTの組織例として次の3つが挙げられています。
- 独立部署:独立した部署としてCSIRTを設置する方法
- 部署横断:複数の部署から横断的にCSIRTを構成する方法
- 個人:部署にとらわれず個人単位で協力し、CSIRTを構成する方法
そして、同ガイドでは「組織内 CSIRT の構築プロセス」も掲載されており、次の8ステップでの進行が示されています。
- 経営層から理解を得る
- 組織内の現状把握
- 組織内 CSIRT 構築活動のためのチーム結成
- 組織内 CSIRT の設計と計画
- 必要な予算やリソースの獲得
- 組織内 CSIRT 関連規則類の整備
- CSIRT 要員(スタッフ)への教育
- CSIRT の告知と活動開始
出典:JPCERTコーディネーションセンター(JPCERT/CC) 「CSIRTガイド」
上記からもわかる通り、CSIRTには具体的なベストプラクティスがあるわけではなく、組織ごとに最適な形を追求し、構成を検討することが必要といえます。しかし、個人的な勉強に終始し、活動が停滞してしまうことがないように、経営層が参画して組織づくりを行っていくことは必須要件といえるでしょう。
万が一に備えるセキュリティ体制を
前述の通り、マルウェア感染などのセキュリティ事故は「防げないもの」と認識し、対策を講じることが必要です。だからこそ、その規模や形態に捉われすぎることなく、CSIRT設置・対策を進めることが重要といえます。
しかし、「CSIRTに選任の人材を配置するだけの人的リソースが足りない」「専門知識を持ったスタッフがいない」「他部門と兼任であるためCSIRTの活動に注力できない」といった各社の事情が存在することも事実です。そこで、「マルウェアの侵入を許しても、社内の情報資産を守る」というコンセプトのもとで機能するツールが重要な意味を持つことになります。
大興電子通信が提供するAppGuardは、「マルウェアの攻撃を防ぐ」という考えに基づき、最新セキュリティ対策を提供するセキュリティソリューションです。従来型のセキュリティツール(検知型エンドポイントセキュリティ)が「侵入させない」という観点に基づいていることに対して、AppGuardは「侵入されても攻撃させない」という発想に基づいています。
万が一、マルウェアに感染してもインシデント発生のリスクを減らすことができれば、業務へのダメージを最小限に抑え、対策を講じることができます。また、未知の脅威に対する情報をやみくもに収集するのではなく、戦略的なセキュリティ対策を立てることも可能になるでしょう。
CSIRT の新規設置を検討されている企業様や、業務負荷を最小化しつつCSIRT の活動を継続したいとお考えの企業様は、お気軽に弊社までご相談ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。