CSIRTの役割とは？
サイバー攻撃に備えた組織を構築するための手順

CSIRT（シーサート）とは、コンピュータのセキュリティーインシデントが発生した際に、組織内で対応するチームのことです。「Computer Security Incident Response Team」の頭文字を取った略称から、CSIRTと呼ばれています。CSIRTはインシデントの事後対応のほか、インシデントの事前対応やセキュリティー品質向上などの業務も担います。セキュリティーインシデント発生時だけでなく、発生前にサイバー攻撃などのあらゆる脅威に備えてセキュリティー対策を実施することも、CSIRTの役割です。CSIRTの具体的な役割については、後ほど詳しく解説していくため、ぜひご一読ください。

企業がサイバー攻撃のターゲットとなり、情報漏えいなどの被害に遭ってしまう事例が後を絶ちません。社内のデバイスを感染させる「マルウェア」や、身代金を要求する「ランサムウェア」、機密情報を盗み取る「標的型攻撃」をはじめとして、さまざまな手口が存在します。こうしたサイバー攻撃の手口は年々多様化および巧妙化する傾向にあります。そのため、企業側がサイバーセキュリティー対策を実施していても、セキュリティーインシデントの発生を完全に防ぐことは難しくなりました。こうした背景から、インシデント対応に備えてCSIRTを構築する企業が多くなっています。従来のビジネスシーンでは、アンチウイルスソフトの導入やファイヤーウォール検知に代表されるように、インシデントの事前に行うセキュリティー対策を導入するのが一般的でした。しかし、インシデントの発生を防ぐことを前提とした対策のみでは、発生後の対応で後れを取り、被害が拡大するリスクがあるのです。近年ではインシデントの発生に備えたCSIRTの必要性が高まり、注目を集めています。

CSIRTと類似した言葉として、SOC（ソック）が挙げられます。SOCとは、サイバー攻撃の対策を専門とする組織のことです。「Security Operation Center」の略称からSOCと呼ばれています。CSIRTとSOCは、守るものや目的に違いがあります。SOCの目的は、ネットワークや通信機器の監視や分析を行い、サイバー攻撃の兆候を検知して早期段階で見抜くことです。ネットワークやシステムを保守する役割が強いといえます。それに対して、CSIRTはセキュリティーインシデントが発生したときの「対応」を主な目的としているのが特徴です。自社の事業・取引先・ブランドなどを保守して、事業を継続させる意味合いが強いといえます。CSIRTとSOCは、いずれも企業のセキュリティー対策に欠かせない存在です。

当社では、SOCがパッケージ内容に含まれた「TASKGUARD セキュリティーサービス」を提供しています。異常監視と対応支援により、企業様の情報セキュリティー強化に寄与します。CSIRTの構築と併せて、ぜひご検討ください。

企業内に強固なセキュリティー体制を構築したり、ネットワークやシステムの異常を迅速に検知したりして、セキュリティーインシデントの発生を防ぐための仕事です。具体的には、セキュリティーを強化するシステムやサービスを導入したり、自社のセキュリティー規程を策定したりする業務があります。また、セキュリティー対策に関して社内外と情報連携をしたり、他社のインシデント事例や情報セキュリティーの脆弱性に関する最新情報を収集したりすることも、事前対応に含まれます。これらの事前対応により、インシデントが発生する可能性を減少させることが可能です。

セキュリティーインシデントが発生した場合、事前に検討した処理を行い、解決に導いたり被害を最小限にとどめたりする仕事を指します。CSIRTの役割の中でも特に重視されるのが、インシデント事後対応です。このようなインシデントの発生から解決までの処理は「インシデントハンドリング」と呼ばれます。

インシデントハンドリングは、主に「検知・連絡受付」「トリアージ（＝優先順位付け）」「インシデントレスポンス（＝対応）」「報告・情報公開」という4つの段階に分けられます。最初にインシデントが発見されるのが、検知・連絡受付の段階です。社内で異常を検知したら、CSIRTへの情報共有が行われます。続いてトリアージの段階に入り、現状の人材や設備などのリソースを踏まえて、対応の優先順位付けが行われます。インシデントレスポンスは、対応の要不要や可否などを判断した上で、対応計画を立て、実施する段階です。最後に、社内への報告や、一般やメディア向けのプレスリリースなど、報告・情報公開を行います。

インシデントハンドリングの各段階で適切な処理を行うことで、インシデントの拡大を食い止め、原因を究明して社内外への情報提供ができるようになります。

CSIRTがセキュリティー対策の専門家として有益な知識を提供することで、社内のセキュリティー品質を向上させる仕事です。具体的には、社員に対するセキュリティー教育の実施や、セキュリティー対策の啓発活動、BCP（事業継続計画）の作成などが挙げられます。社員のセキュリティー意識が高まれば、間接的にセキュリティーインシデントの発生を抑えることが可能です。CSIRTがセキュリティーコンサルティングを実施したり、社外の専門家と連携して活動したりするケースもあります。

参考：CSIRT スタータキット（日本シーサート協議会）
URL：https://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf

まずはCSIRT構築プロジェクトを立ち上げます。現状のセキュリティー体制について情報収集を行い、問題点や課題を洗い出します。CSIRTの位置付けや方向性を定めることが大切です。

CSIRT構築の計画を立案する段階です。自社のCSIRTの具体的な業務内容を決めて、必要な人材や予算などを確保します。また、CSIRTの運用開始へ向けたスケジュールを策定します。

事前に計画した通りにCSIRTの運用をスタートさせます。運用開始後は、社内でCSIRTの存在を周知することがポイントです。積極的なアピールにより、社員がインシデント発生時の相談窓口や連絡先を把握している状態を目指します。

CSIRTの運用を開始したら、定期的に現状の活動を見直し、セキュリティー体制のさらなる強化へ向けて取り組みます。運用方法を改善するだけでなく、メンバーが最新の情報セキュリティーの脅威について学び、常に新たな知識を身につけることも重要です。