CSIRTとは？SOCとの違いや組織的なインシデント対応の必要性について

巧妙化し続けるサイバー攻撃。たとえ攻撃を受けても被害を最小限に留めるためには、あらかじめ組織内でインシデントに対応する専門のチームを作り、体制を整えておかなければなりません。インシデント対応の組織といえば、CSIRT、SOC、PSIRTなど、さまざまな概念があります。この記事ではそのうちの「CSIRT」についてご紹介します。

CSIRT（Computer Security Incident Response Team）は、サイバー攻撃による情報漏えいやシステム障害など、インシデントが発生したときに対応を行う組織のことです。インシデント発生時だけでなく、平常時にもインシデント防止のための対策を行います。

CSIRTの必要性

CSIRTという組織が必要になった背景には、サイバー攻撃の増加および手口の多様化・巧妙化が進んでいることが挙げられます。
たとえばサイバー攻撃を受けて業務システムがダウンしたとします。そうなると業務は停止になり、生産性も低下、システムダウンの時間が長引くほどに組織の利益は減少してしまうのです。ひいては組織が社会的な信用も失ってしまい、場合によっては損害賠償請求を受けることにもなりかねません。
このようにサイバー攻撃は企業経営の根幹を揺るがす恐れのあるものであり、企業としてはサイバー攻撃に対応できる体制を整える必要があるのです。部署ごとに講じるセキュリティ対策や、情報セキュリティ担当者の対応だけでは十分な対策とはいえないでしょう。
そのため、インシデント発生時に被害を最小限に抑え、平時はインシデントの発生に備えるCSIRTの必要性が高まっています。

CSIRTの歴史

CSIRTの起源は1980年代にアメリカで発足した「CERT/CC」といわれます。当時アメリカではワームというマルウェアの一種が蔓延しており、対策組織としてCERT/CCが発足しました。

日本ではCERT/CCにならい、「JPCERT/CC」が1996年に発足しています。JPCERT/CCは政府や企業などから独立した中立的な組織です。JPCERT/CCでは、インターネットを経由した不正アクセスなどのインシデントについて企業などから報告を受け、発生状況の把握や手口の分析、対応や再発防止策の助言や支援を技術的な立場から行っています。企業におけるCSIRTの構築についても情報提供などの支援を行っています。
JPCERT/CC：https://www.jpcert.or.jp/

2015年には経済産業省が発表した「サイバーセキュリティ経営ガイドライン」に、CSIRTの重要性が示されました。現在ではCSIRTを設置する企業が増加しています。

企業やサービスによってCSIRTの役割は異なりますが、おおむね下記の通りとなります。

インシデント事後対応

CSIRTはインシデントが発生したときに、発生から対処までをハンドリングします。
インシデントを検知し、原因を調査するとともに対処の優先順位を付け、対策を実施します。社内外の関係者にインシデントの発生を通知し、インシデントの深刻度によっては組織の経営層や省庁、警察などの関係各所へも報告が必要です。
インシデントの収束後には、再発防止対策を検討するなど事後対応を行います。

インシデント事前対応（平常時の対応）

インシデントが発生していない平常時には、インシデント発生時に備える業務を行います。
業務の例としては、ネットワークやシステムの異常検知など、セキュリティ対策のためのシステムやツールの検討および導入などです。社内外の人材・サービスと連携しインシデント発生時の対処方法を検討する、インシデントに関する最新情報を収集して既存の体制やサービスを再検討する、といった対応も行います。

セキュリティ品質向上サービス

アウトソーシングとして提供されるCSIRTサービスの中には、組織のセキュリティ品質を向上させることを目的としたものもあります。コンサルティングのような第三者観点の立場から、その組織におけるシステムの評価やリスク評価分析を行います。
また、組織内の人員に対してセキュリティ意識を高めるための教育や啓蒙を行うことも活動のひとつです。場合によっては、事業継続性（BCP）や災害復旧（DR）計画の作成や改正を行うこともあります。

その他広報活動など

その他、インシデント発生時には必要に応じてメディア対応などの広報活動を行うケースも存在します。

CSIRTが実際にどのような活動をするかは、組織の業種や文化、ミッション、提供している商品・サービス、または取り扱い対象となるインシデントによって異なります。

CSIRTと同じような組織として、SOCやPSIRTがあります。ここではCSIRTとの違いを簡潔にご紹介します。

CSIRTとSOCの違い

SOC（Security Operations Center）とは、企業のシステムやネットワークを24時間・365日体制で監視する組織です。インシデントの発生を検知してCSIRTに連絡し、CSIRTの指示でデータやログの解析・分析を行います。

SOCについて、詳しくは下記記事をご参照ください。

参考コラム：セキュリティ対策チーム「SOC」とは？意味と役割、CSIRT・MDRとの違い

CSIRTとPSIRTの違い

PSIRT（Product Security Incident Response Team）は、自社で開発を行い外部に提供している製品に関するセキュリティ対策を担う組織です。CSIRTとは、セキュリティ対策の対象が異なります。CSIRTは自組織の保護やインシデント対応が目的であるのに対し、PSIRTは製品に対するセキュリティ対策を行います。

CSIRT導入の大まかな流れは次の通りです。

1．情報収集と現状把握・問題把握

CSIRT構築の前に、自組織の情報資産やリスク、問題点の洗い出しを行います。情報が出そろったら、CSIRTを組織のどの立ち位置にするか、規模やコストがどの程度になるかなどの検討を行います。

2．CSIRT構築計画の立案

CSIRT構築の方向性や目的、サービス対象を明確に定義。また社内の体制、CSIRTの構成メンバーを検討します。専門知識や意見を取り入れる仕組みも必要です。

3．CSIRTの構築

構築計画を元に、社内での調査実施やCSIRTの体制整備を行います。
インシデントレスポンスに関連する社内のさまざまな部門と調整し、必要なツールやサービスを導入します。またCIRTの概要説明書や手順書など、運用に必要な文書を作成。セキュリティに関わる人すべてにCSIRTに関する説明を実施し、トレーニングを行って、CSIRTに関しての理解を得ます。

4．CSIRT 運用前の準備・シミュレーション

CSIRT運用前に、インシデントシナリオを作成してシミュレーションを実施し、改善点を検討します。
まずはシナリオを元に机上でCSIRT の活動をシミュレーションし、結果からCSIRT の有用性を確認、運用開始前に問題点を洗い出すという作業を行います。シミュレーションを行って初めて、社内の連携体制や情報伝達の不備となっている点、責任範囲の曖昧さなどがわかることもあるでしょう。問題点を洗い出した後は、それらの事柄に対して改善を行います。

5．CSIRT 運用開始

社内外にCSIRTの設置について周知を行った上で、実際にCSIRTの運用を開始します。

6．CSIRT 再検討・改善

CSIRTは一度構築して終わりではなく、定期的に再検討し、改善を繰り返していくことが必要です。サイバー攻撃は多様化・巧妙化していることから、CSIRT内部においても利用するツールの変更や体制の強化などを行う必要があるのです。

CSIRTは必要不可欠な組織ですが、実際に組織の課題を洗い出すと、自組織だけでは課題に合わせて有用なCSIRTを構築することが難しいとわかるケースもあります。外部サービスも活用しながら、CSIRTを構築あるいは改善していきましょう。

アクセリアは、あらゆるレイヤーのリスクを踏まえたセキュリティサービスをご提案できます。CSIRT構築にあたり何から始めたら良いかわからない場合、人員が不足している場合など、お気軽にご相談ください。

▶お問い合わせはこちら