- 公開日:2024年06月20日
CSIRTとは?概要や構築のポイントを把握しセキュリティインシデントに備えよう
サイバー攻撃の手口が巧妙化している昨今、企業はセキュリティインシデントから社内の貴重な情報を守るために、さまざまな対策や環境整備をおこなう必要があります。
今回ご紹介するCSIRTは、サイバー攻撃などの被害が発生した際に即座に対応するチームのこと。SOCと似ている側面もありますが、どういった違いがあるのでしょうか。本記事では、CSIRTの概要をはじめチームの役割や構築の必要性、構築前に確認しておくべきポイントを解説します。
CSIRTとは?
CSIRT(シーサート)は、「Computer Security Incident Response Team」の略称であり、セキュリティインシデントに対応するチームのことです。企業のコンピュータやシステムがサイバー攻撃などの被害に遭った際、インシデント発生の検知から対応までを早急かつ的確におこないます。
このほかにも、CSIRTは社内システムの脆弱性を調査したり、従業員にセキュリティ教育をおこなったりと、インシデント発生を未然に防ぐための業務を担っている場合もあります。
企業・組織におけるCSIRTの必要性
国立研究開発法人NICT(情報通信研究機構)が発表した「NICTER観測レポート2023」によると、2023年に観測したサイバー攻撃関連の通信数は約6,197億パケットでした。2015年の約632億パケットから10倍近く増加しており、1つのIPアドレスにつき年間約226万パケット、およそ14秒に1回の頻度で攻撃関連の通信がおこなわれている計算になります。
サイバー攻撃などの脅威は年々増加しており、その手口も巧妙化しています。ほぼ全ての企業がサイバー攻撃の標的となる可能性があるため、企業はセキュリティインシデントの発生を前提とした体制の構築や、対応組織の編成をおこなう必要があるのです。
CSIRTの種類
CSIRTは、インシデントへの対応を専門におこなっているチームもあれば、インシデント発生時などに結成されるチームもあります。また、対応する内容や性質が異なる場合もあり、以下のように分けられます。
| 種類 | 概要 |
|---|---|
| Internal CSIRT
(組織内CSIRT) |
企業に属し、自社や顧客に生じたインシデントに対応するチーム。対象となるのは、組織が有するシステムやネットワーク、設備など。 |
| National CSIRT
(国際連携CSIRT) |
国内外の窓口として情報交換や連携を図り、国レベルのセキュリティインシデントに対応するチーム。日本には「JPCERT/CC」などがある。 |
| Vendor Team
(ベンダーチーム) |
セキュリティサービスを提供するベンダー内に設置されたCSIRT。製品の脆弱性が見つかった際の更新プログラム作成や顧客への注意喚起なども担当。 |
| Coordination Center
(コーディネーションセンター) |
さまざまな組織のCSIRTと連携を取り、インシデント発生の報告を受けた場合は適切な対処をおこなえるよう調整を進めるチーム。 |
| Incident Response Provider
(インシデント対応事業者) |
外部組織のインシデントに対処するチーム。セキュリティベンダーなどが顧客企業の代わりにCSIRTの役割を担う。 |
| Analysis Center
(分析センター) |
インシデントの分析や深刻度の評価をおこなうチーム。サイバー攻撃などの最新情報も入手し、インシデント発生の可能性がある場合は注意喚起をおこなう。 |
このなかでも、主に自社の従業員で構成されたものがInternal CSIRTです。社内でCSIRTの構築が難しい場合は、Incident Response Providerなどの力を借りてセキュリティインシデントに備えても良いでしょう。
SOCやPSIRTとの違い
SOC(Security Operations Center)は、社内のシステムやネットワークを常に監視し、セキュリティインシデントの検知や分析を担当する部門です。インシデントの分析では発生状況や原因、影響を及ぼす範囲を明らかにします。
一方のCSIRTは、セキュリティインシデントの発生時の対応が主な業務となるため、インシデント発生をSOCが検知した場合にCSIRTへとエスカレーションがおこなわれます。
また、PSIRT(Product Security Incident Response Team)もインシデントに対応する点では共通していますが、違いは自社の製品やソフトウェアが対象となる点です。自社サービスにセキュリティ上の脆弱性が見つかった場合、その事実と対応方法を顧客にアナウンスするなど総合的な対応をおこないます。
CSIRTが担う主な役割5つ
セキュリティインシデントに備えるためにCSIRTを構築しても、肝心の役割を明確に把握しておかなければ、適切な対応がおこなえない可能性もあります。
ここからは、CSIRTが担う主な役割について見ていきましょう。
インシデント発生時の連絡窓口
CSIRTは、セキュリティインシデントが発生した時の連絡窓口としての役割を担っています。例えば、あらかじめインシデント発生時のルールを決めておけば、従業員が社内パソコンのウイルス感染に気づいたときにCSIRTへと連絡が届けられます。
連絡窓口が設けられていないと、社内でインシデントが発生した場合の対応が遅れる可能性があります。インシデント発生時の窓口を一箇所にまとめることで、CSIRTが現状把握や対応を迅速におこなえるようになるでしょう。
調査・分析・対応
インシデント発生後、従業員などから集めた情報をもとに調査から対応までをおこなうこともCSIRTの役割です。セキュリティインシデント発生の原因究明をはじめ、対処するために必要なことを検討したうえで的確な対応をおこないます。
システムやネットワークが停止したり不具合が生じたりした場合は、分析や調査をおこないます。その後、問題がないと確認できた部分から復旧させ、事態の収束を図ります。これにより、セキュリティインシデントによるビジネスへの影響や被害を最小限に留めます。
社内・社外への報告
サイバー攻撃などの被害に遭った場合、CSIRTは事態を社内に共有することはもちろん、ステークホルダーなどの社外に報告をおこなうケースもあります。例えば、ウイルス感染によって顧客情報が流出した場合、被害の規模や対応状況などを整理して関係各所へ報告をおこなうこともあります。
再発防止策の立案・策定
発生したインシデントへの対応だけでなく、今後の再発を防ぐための計画を立案・策定することもCSIRTの役割です。
どのような被害に遭ったのか、どういった経緯でインシデントが発生したのかなど、あらゆる情報をまとめます。また、セキュリティインシデントの原因究明から復旧対応までのノウハウを蓄積し、対応の迅速さと正確性を高めていくこともCSIRTが担っています。
社内での注意喚起・教育
CSIRTは社内への注意喚起や従業員への教育もおこないます。これまでにサイバー攻撃などの被害に遭ったことがある場合は、発生源や復旧までの流れを従業員に共有し、インシデント発生時に適切な対応が取れるよう教育します。
こうした注意喚起や教育によって、従業員のセキュリティ意識を高められるため、インシデント発生率の低下や緊急時のスムーズな対応にもつながるでしょう。
CSIRT構築時に把握しておくべきポイント
セキュリティインシデントへの対応を円滑におこなうには、CSIRTを構築するだけでなく全社一致で取り組むことが重要です。またCSIRTが担う役割は企業によって異なる場合もあるため、どのような体制でどのような業務を任せるか明確にしておく必要があります。
ここではCSIRTを構築する際に把握しておくべきポイントを解説します。
経営層の承認を得る
社内にCSIRTを構築する場合は、経営層の承認を得ておきましょう。というのも、全社一致で取り組まなければCSIRTが十分に機能しない可能性があり、インシデント発生時には迅速な経営判断が求められる場合もあるためです。
経営層の承認を得るためにも、自社が抱えているセキュリティ課題は何なのか、CSIRTの運用によってどのように改善・解決できるのかなど、企業にとってのメリットを提示しましょう。
役割を明確にする
セキュリティの脆弱性がどこにあるのかは、企業が使用しているネットワークやシステムなどによって異なります。そこで、自社に合ったCSIRTを構築するためにも、チームの業務内容や役割を明確にしましょう。
ただ、少人数でCSIRTを編成した場合、業務量が多すぎると迅速に対応できない可能性があります。必要な予算や人員など、企業ごとの状況に合わせて編成することも重要なポイントです。
外部との連携も検討する
企業によっては自社でCSIRTを構築するためのリソースを確保できない場合もあるでしょう。そのような場合は、Incident Response Providerのような外部のインシデント対応チームや専門家に協力してもらい、必要最低限の運用をおこなうことも検討してみてください。
また、社内でCSIRTの構築が可能な場合も外部との連携が欠かせません。セキュリティインシデントに早急かつ的確な対応をおこなうためにも、他企業のCSIRTやセキュリティベンダーなどと連携し、最新情報を共有するコミュニティ構築も必要です。
CSIRT構築・運用の流れ
社内でCSIRTを構築・運用する場合、どういった流れで進めれば良いのでしょうか。ここでは大まかな流れを4つのポイントに分けて解説します。
1.社内セキュリティの現状を評価する
まずは、現状把握から進めましょう。これまでどんなセキュリティインシデントがあったのか、現状のセキュリティから想定されるリスクなど、問題点や課題点を洗い出します。
2.CSIRT運用の計画を立てる
社内のセキュリティレベルや課題点などを調査したうえで、CSIRTの全体的な計画を立てましょう。セキュリティインシデントへの対応フローや、未然に防止するための取り組みのほか、担当者や予算、必要なツールなどを決めていきます。
作成した計画をもとに経営層に承認されれば、他部門との調整や人的リソースの導入などを経てCSIRTを構築します。
3.CSIRTの運用
必要な人員・予算を確保してCSIRTを構築したあとは、計画に沿って運用を進めていきます。同時に、CSIRTが構築されたことやセキュリティインシデント発生時の窓口になることを社内に伝えておくことも大切です。
平常時はインシデント発生に備えて、サイバー攻撃などの情報を入手したり、社内のセキュリティ強度を適宜評価したりといった活動をおこないます。
4.ブラッシュアップ
事前に立てた計画に合わせて取り組むことも大切ですが、運用が始まったらCSIRTの活動内容を評価・改善することも欠かせません。必要に応じて対応プロセスを見直したり、これまでのセキュリティインシデント対応で培ったノウハウを整理したりしましょう。
セキュリティインシデントに備えてCSIRTを構築・運用しよう
サイバー攻撃の件数は年々増加しており、CSIRTは企業になくてはならない存在です。ただ、ひとくちにCSIRTといっても社内で構築するのか外部に委託するのかで体制が異なり、企業によって規模や要件なども異なります。
社内でCSIRTを構築する場合、セキュリティに関する知識やスキルを持った人材が必要となり、業務範囲の広さによっては大きな負担がかかってしまうかもしれません。そこで、CSIRTの負担を軽減し、社内のセキュリティレベルを高めるツールの導入も検討してみましょう。オプテージが提供しているEDRは、高度なウイルス検知機能を備えて被害を未然に防ぐだけでなく、原因の調査・特定をおこないます。原因となる脅威の除去をおこなうため、ほかの端末が同様の被害に遭うこともありません。
このほか、セキュリティに関するサービスを幅広くご用意しています。CSIRT構築などを検討されている方はお気軽にご相談ください。
>> EDR (Endpoint Detection and Response)
◎製品名、会社名等は、各社の商標または登録商標です。
