高度化するサイバー攻撃と戦うセキュリティチーム、CSIRTについて

年々サイバー攻撃による情報漏洩や不正アクセスは増加し、国内でもサイバー攻撃は昼夜問わず、毎秒行われています。サイバー攻撃による被害を拡大させないためにもセキュリティに関する問題は迅速に対応する必要があります。そこで、社内でインシデントに素早く対応するための専任のセキュリティチーム「CSIRT」を設置する企業が増えています。帆トピックスではCSIRTの「役割」「構築のポイント」「セキュリティ人材の不足とCSIRT」についてお届けいたします。

　

CSIRTの役割とは？

CSIRT（シーサート：Computer Security Incident Response Team）は、情報システム部門とは別に、社内に設置されたセキュリティ専任のチームを指します。セキュリティインシデントを迅速に検知し、解決に向けた原因の究明や社内外含めた情報連携などを円滑に行います。

　

平常時の役割

CSIRTはインシデントが発生していない時も活動しています。
【①CSIRT内部】インシデント対応プロセスの検討、セキュリティツールの準備など
【②対社内関係者】経営層への状況・活動報告や社員への注意喚起
【③対社外組織】外部団体「JPCERT/CC」と情報連携

　

インシデント発生時の役割

インシデントが発生してしまった場合は被害を最小に抑える必要があり、円滑な対応のために活動します。
【①CSIRT内部】被害状況やインシデントの発生原因など詳細の調査、解決策の検討など
【②対社内関係者】経営層への報告やIT関連部署との連携
【③対社外組織】外部ベンダー「セキュリティベンダー（SOC）」へ解析依頼・発注、外部団体「JPCERT/CC」へ報告・支援依頼

　

インシデント収束時の役割

CSIRTの役割はインシデント対応で終わりではありません。
【①CSIRT内部】再発防止策の検討
【②対社内関係者】経営層への報告や社員への注意喚起
【③対社外組織】外部関係者「監督省庁」「顧客」へ情報開示・プレス、外部団体「JPCERT/CC」へ情報連携

なお、CSIRTの役割を聞き、SOC（Security Operation Center）を思い浮かべた方もいるかと思います。活動内容は重複するところもありますが、SOCはネットワークやシステムの「監視、運用、調査」がメインであるのに対し、CSIRTはインシデントの発生前から収束にかけて迅速に「SOCを含めた各関係各所に対して、調査指示、決定、情報発信を行うコントロールセンター」がメインになります。

　

CSIRT構築時のポイント

CSIRTには、主に以下の3つの形態があります。
【①集中型】全員がCSIRT専任のメンバーで構成されたチーム
【②分散型】他部署と兼務しているメンバーで構成されたチーム
【③統合型】CSIRT専任のメンバーと他部署と兼務しているメンバーで構成されたチーム

主な形態はあるもののCSIRTはインシデント対応を円滑にすることが目的であるため、決まった体制はありません。企業規模や組織体制などを考慮したうえで自社にあったCSIRTを設置することが重要です。

　

セキュリティ人材の不足とCSIRT

いざCSIRTを自社で構築したくても、セキュリティの知識を有する人材は不足しており確保が難しいかと思います。この課題はどこの会社でも起きており、日本国内の課題とも言えます。では、なぜセキュリティ人材が不足しているのでしょうか。その原因は2つあります。
①サイバー攻撃から守るべきものが増加
②サイバー攻撃の高度化に対して人材のスキルが追い付いていない
つまり、企業が保有すべきセキュリティのスキルと世の中のセキュリティ人材が保有しているスキルとのギャップが広がっているのです。

情報漏洩は企業の信頼にかかわる重要な問題です。昨今のサイバー攻撃の高度化やCSIRTの注目もあり、CSIRTの立ち上げを支援するセキュリティ企業も存在します。理想的な体制の構築をすぐに実現することは難しいかもしれませんが、まずは自社に必要なセキュリティ対策を検討し、必要なセキュリティ対策に特化した少人数のCSIRTから構築してみてはいかがでしょうか。

　

---

　

CSIRTの構築をご検討中の企業様へ

弊社では、お客様のCSIRT構築に向けたご相談も承っております。「CSIRTで実現すべき要件の定義」「立ち上げ時の体制フォロー」「運用中のセキュリティ情報提供」など、各フェーズでサポートいたします。

詳しくは、フォームよりお問合せください。