セキュリティインシデントに備えた組織体制（１／３）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

本記事では、セキュリティインシデントに備えた組織体制として、多くの企業で設置・運用が進んでいる
CSIRT（シーサート）の役割や期待される効果等について解説します。

●CSIRTの概要

近年、ランサムウェアをはじめとしたサイバー攻撃の脅威が増大しており、企業の業務継続が困難になったり、機密情報や個人情報が流出したりするリスクがますます高まっています。そうしたリスクに対応するため、CSIRT（Computer Security Incident Response Team）を設置・運用する組織が増えています。

なお、広義のCSIRTには、国際連携を行うCSIRTや、CSIRT間の情報連携を行う「コーディネーションセンター」等も含まれますが、ここでは特定の組織で活動する「組織内CSIRT」を前提として解説します。

CSIRTには、インシデント発生時にその対応を主導し、情報を集約して顧客、株主、経営者、監督官庁等に適時報告するとともに、現場組織等に適時対応を指示すること等が求められます。

もしインシデント発生後にCSIRTのような体制を構築したとすれば、対応を開始するまでに多くの時間を要し、復旧するまでに多くの損害が発生してしまうことでしょう。一方、インシデント発生前にCSIRT体制が構築できていれば、発生したインシデントに迅速かつ適切に対応し、その損害や影響を最小化することが可能となります。

JPCERTコーディネーションセンター（JPCERT/CC）が公開している「CSIRTガイド」には、それをわかりやすく表した次の図が掲載されています。


インシデント発生後に体制構築した場合と発生前に構築した場合の比較イメージ

(https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20211130.pdf)

また、CSIRTにはインシデント発生時の対応だけでなく、平常時の活動として、セキュリティに関する最新情報を収集したり、外部のセキュリティベンダーや関連機関、ISAC（Information Sharing and Analysis Center）等の業界団体、他のCSIRT等と連携して情報を共有したりすることにより、インシデント発生に備えた対応を行うことなども重要な役割です。
加えて、インシデント収束後には再発防止のための対応なども求められます。

また、CSIRTの一機能、もしくは関連組織として、SOC（Security Operation Center）を設置したり、セキュリティ専門ベンダー等が運営する外部のSOCと契約したりするケースも多くあります。

SOCの主な役割は、各種セキュリティ製品からのアラートや、サーバ、ネットワーク機器等のログ分析を行ってインシデントの発生やその兆候等を早期に検知し、CSIRTに適時報告（エスカレーション）することです。

●CSIRT構築・運用による効果

CSIRTを構築・運用することにより、次のような効果が期待されます。

（1）インシデントに関する情報の一元管理

もしCSIRTが存在しないとすれば、組織内でインシデントが発生した場合、その情報が各部署から個々に経営層に報告/伝達されることになるため、それを経営層が整理して状況を把握しなければならなくなります。また、対応に関する指示についても経営層から各部署に個別に行う必要があります。

一方、CSIRTが設置されていれば、インシデントに関する情報の集約を行うとともに、組織内の関係者に適切に報告/伝達する機能を担うことにより、それに基づいた効果的な対応を行うことが可能となります。


CSIRTを構築・運用することによる効果のイメージ①

(https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20211130.pdf)

（2）インシデントに関する組織内外との統一された窓口

もしCSIRTが存在しないとすれば、自組織で発生したインシデントについて問合せを受ける窓口が不明確であることから、様々な部署や担当者に顧客や取引先から連絡が入ることが考えられます。その結果、連絡を受けた部署や担当者間の連携や関連付けが難しくなり、インシデントへの対応が混乱し、遅れる可能性があります。

CSIRTがインシデントの報告や問合せについての社内外に向けた統一の窓口として機能することで、情報を集約し、それらの関連付けを行うことで、効果的な対応に繋げるとともに、社内外に発するメッセージを統一化することが可能となります。


CSIRTを構築・運用することによる効果のイメージ②

(https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20211130.pdf)

（3）インシデント対応に関係する外部組織との信頼関係の構築

インシデントに関する情報を他の組織と共有することで、自組織のインシデント対応に役立てることができます。とはいえ、通常インシデントに関する情報には、その組織にとって機微な情報が含まれているため、外部と共有するのは難しい場合が多いでしょう。それを可能にするには、共有する組織間で信頼関係が築かれていることが前提となります。

もしCSIRTが存在しなければ、他の組織と情報交換するのは各部署の担当者となるため、提供した情報が果たして相手の組織内で適切に扱われるかどうか確信を持てず、信頼関係を築くことはより困難になります。

一方CSIRTがあれば、外部に対する「信頼の窓口」として機能することで、組織間の信頼関係を築くことができる可能性が高まります。


CSIRTを構築・運用することによる効果のイメージ③

(https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20211130.pdf)

今回はセキュリティインシデントに備えた組織体制として、CSIRTの役割や、構築・運用することによる効果について解説しました。
次回以降はCSIRTを核としたインシデント発生時の対応における留意点等について解説します。