CSIRTの役割とは?
サイバー攻撃に備えた組織を構築するための手順
2023.1.31
セキュリティー
昨今のセキュリティー対策では、サイバー攻撃によるインシデントの発生を防ぐだけでなく、インシデントに対して適切に対応できる社内体制を整備することも重要だと考えられています。対応が遅れたために被害が拡大し、企業に大きな損害がもたらされたケースも少なくありません。
そこで本記事では、セキュリティーインシデントの発生時に対応を行うチーム「CSIRT(シーサート)」について解説します。新たなサイバー攻撃の手口が次々と登場する今、これまでのセキュリティー対策の考え方では自社の安全を守ることが難しくなっている状況です。インシデント発生時の対応で後れを取らないためにも、CSIRTの構築へ向けた情報収集を始めてはいかがでしょうか。
そこで本記事では、セキュリティーインシデントの発生時に対応を行うチーム「CSIRT(シーサート)」について解説します。新たなサイバー攻撃の手口が次々と登場する今、これまでのセキュリティー対策の考え方では自社の安全を守ることが難しくなっている状況です。インシデント発生時の対応で後れを取らないためにも、CSIRTの構築へ向けた情報収集を始めてはいかがでしょうか。
お役立ち資料
社内の機密情報流出を防ぐチェックリスト全50項目
自社のセキュリティー状況を把握できるチェックリストを無料公開。50項目の質問に答えることで、自社のセキュリティー課題を知ることができます。
CSIRTとは?
まずは、自社のセキュリティー体制整備に際してCSIRT(シーサート)の構築を検討しているご担当者様へ向けて、CSIRTに関する基礎知識をお伝えします。CSIRTを構築する重要性や、よく似た用語との違いをご確認ください。
CSIRTの意味
CSIRT(シーサート)とは、コンピュータのセキュリティーインシデントが発生した際に、組織内で対応するチームのことです。「Computer Security Incident Response Team」の頭文字を取った略称から、CSIRTと呼ばれています。CSIRTはインシデントの事後対応のほか、インシデントの事前対応やセキュリティー品質向上などの業務も担います。セキュリティーインシデント発生時だけでなく、発生前にサイバー攻撃などのあらゆる脅威に備えてセキュリティー対策を実施することも、CSIRTの役割です。CSIRTの具体的な役割については、後ほど詳しく解説していくため、ぜひご一読ください。
CSIRTの必要性
企業がサイバー攻撃のターゲットとなり、情報漏えいなどの被害に遭ってしまう事例が後を絶ちません。社内のデバイスを感染させる「マルウェア」や、身代金を要求する「ランサムウェア」、機密情報を盗み取る「標的型攻撃」をはじめとして、さまざまな手口が存在します。こうしたサイバー攻撃の手口は年々多様化および巧妙化する傾向にあります。そのため、企業側がサイバーセキュリティー対策を実施していても、セキュリティーインシデントの発生を完全に防ぐことは難しくなりました。こうした背景から、インシデント対応に備えてCSIRTを構築する企業が多くなっています。従来のビジネスシーンでは、アンチウイルスソフトの導入やファイヤーウォール検知に代表されるように、インシデントの事前に行うセキュリティー対策を導入するのが一般的でした。しかし、インシデントの発生を防ぐことを前提とした対策のみでは、発生後の対応で後れを取り、被害が拡大するリスクがあるのです。近年ではインシデントの発生に備えたCSIRTの必要性が高まり、注目を集めています。
SOCとの違い
CSIRTと類似した言葉として、SOC(ソック)が挙げられます。SOCとは、サイバー攻撃の対策を専門とする組織のことです。「Security Operation Center」の略称からSOCと呼ばれています。CSIRTとSOCは、守るものや目的に違いがあります。SOCの目的は、ネットワークや通信機器の監視や分析を行い、サイバー攻撃の兆候を検知して早期段階で見抜くことです。ネットワークやシステムを保守する役割が強いといえます。それに対して、CSIRTはセキュリティーインシデントが発生したときの「対応」を主な目的としているのが特徴です。自社の事業・取引先・ブランドなどを保守して、事業を継続させる意味合いが強いといえます。CSIRTとSOCは、いずれも企業のセキュリティー対策に欠かせない存在です。
当社では、SOCがパッケージ内容に含まれた「TASKGUARD セキュリティーサービス」を提供しています。異常監視と対応支援により、企業様の情報セキュリティー強化に寄与します。CSIRTの構築と併せて、ぜひご検討ください。
当社では、SOCがパッケージ内容に含まれた「TASKGUARD セキュリティーサービス」を提供しています。異常監視と対応支援により、企業様の情報セキュリティー強化に寄与します。CSIRTの構築と併せて、ぜひご検討ください。
CSIRTの主な役割
CSIRTは具体的にどのような業務を担っているのでしょうか。ここでは、CSIRTの主な業務内容である「インシデント事前対応業務」「インシデント事後対応業務」「セキュリティー品質向上業務」について、それぞれ解説します。
インシデント事前対応業務
企業内に強固なセキュリティー体制を構築したり、ネットワークやシステムの異常を迅速に検知したりして、セキュリティーインシデントの発生を防ぐための仕事です。具体的には、セキュリティーを強化するシステムやサービスを導入したり、自社のセキュリティー規程を策定したりする業務があります。また、セキュリティー対策に関して社内外と情報連携をしたり、他社のインシデント事例や情報セキュリティーの脆弱性に関する最新情報を収集したりすることも、事前対応に含まれます。これらの事前対応により、インシデントが発生する可能性を減少させることが可能です。
インシデント事後対応業務
セキュリティーインシデントが発生した場合、事前に検討した処理を行い、解決に導いたり被害を最小限にとどめたりする仕事を指します。CSIRTの役割の中でも特に重視されるのが、インシデント事後対応です。このようなインシデントの発生から解決までの処理は「インシデントハンドリング」と呼ばれます。
インシデントハンドリングは、主に「検知・連絡受付」「トリアージ(=優先順位付け)」「インシデントレスポンス(=対応)」「報告・情報公開」という4つの段階に分けられます。最初にインシデントが発見されるのが、検知・連絡受付の段階です。社内で異常を検知したら、CSIRTへの情報共有が行われます。続いてトリアージの段階に入り、現状の人材や設備などのリソースを踏まえて、対応の優先順位付けが行われます。インシデントレスポンスは、対応の要不要や可否などを判断した上で、対応計画を立て、実施する段階です。最後に、社内への報告や、一般やメディア向けのプレスリリースなど、報告・情報公開を行います。
インシデントハンドリングの各段階で適切な処理を行うことで、インシデントの拡大を食い止め、原因を究明して社内外への情報提供ができるようになります。
インシデントハンドリングは、主に「検知・連絡受付」「トリアージ(=優先順位付け)」「インシデントレスポンス(=対応)」「報告・情報公開」という4つの段階に分けられます。最初にインシデントが発見されるのが、検知・連絡受付の段階です。社内で異常を検知したら、CSIRTへの情報共有が行われます。続いてトリアージの段階に入り、現状の人材や設備などのリソースを踏まえて、対応の優先順位付けが行われます。インシデントレスポンスは、対応の要不要や可否などを判断した上で、対応計画を立て、実施する段階です。最後に、社内への報告や、一般やメディア向けのプレスリリースなど、報告・情報公開を行います。
インシデントハンドリングの各段階で適切な処理を行うことで、インシデントの拡大を食い止め、原因を究明して社内外への情報提供ができるようになります。
セキュリティー品質向上業務
CSIRTがセキュリティー対策の専門家として有益な知識を提供することで、社内のセキュリティー品質を向上させる仕事です。具体的には、社員に対するセキュリティー教育の実施や、セキュリティー対策の啓発活動、BCP(事業継続計画)の作成などが挙げられます。社員のセキュリティー意識が高まれば、間接的にセキュリティーインシデントの発生を抑えることが可能です。CSIRTがセキュリティーコンサルティングを実施したり、社外の専門家と連携して活動したりするケースもあります。
参考:CSIRT スタータキット(日本シーサート協議会)
URL:https://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf
参考:CSIRT スタータキット(日本シーサート協議会)
URL:https://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf
企業や組織にCSIRTを構築するための手順
自社内にCSIRTを構築するには、どのような手順で取り組むべきでしょうか。企業や組織にCSIRTを構築する流れを4つのステップで解説します。
Step1.社内の現状把握と情報収集を行う
まずはCSIRT構築プロジェクトを立ち上げます。現状のセキュリティー体制について情報収集を行い、問題点や課題を洗い出します。CSIRTの位置付けや方向性を定めることが大切です。
Step2.CSIRT構築の計画案を作成する
CSIRT構築の計画を立案する段階です。自社のCSIRTの具体的な業務内容を決めて、必要な人材や予算などを確保します。また、CSIRTの運用開始へ向けたスケジュールを策定します。
Step3.CSIRTを構築して運用を開始する
事前に計画した通りにCSIRTの運用をスタートさせます。運用開始後は、社内でCSIRTの存在を周知することがポイントです。積極的なアピールにより、社員がインシデント発生時の相談窓口や連絡先を把握している状態を目指します。
Step4.運用状況を基に改善を行う
CSIRTの運用を開始したら、定期的に現状の活動を見直し、セキュリティー体制のさらなる強化へ向けて取り組みます。運用方法を改善するだけでなく、メンバーが最新の情報セキュリティーの脅威について学び、常に新たな知識を身につけることも重要です。
CSIRT運用に役立つおすすめのセキュリティーサービス
当社では、企業様のセキュリティー強化に役立つ製品を提供しています。ここでは、CSIRT運用に役立つ「TASKGUARD セキュリティーサービス」をご紹介します。
万が一のインシデント発生時も安心の対応
TASKGUARD セキュリティーサービス
SOCを含む複数のセキュリティー対策機能がパッケージになった、安心のセキュリティーサービスです。24時間体制の監視、異常の通知、リモートでのインシデント対応支援、簡易サイバー保険がセットになっています。
企業様の端末およびネットワークを見守り、監視センターから迅速に通知するだけでなく、リモートでの初動対応まで実施するのがメリットです。また、初動対応費用をカバーする簡易サイバー保険もご利用いただけます。ラインナップは、端末を監視するEDRのパッケージ「TASKGUARD EDR WSセキュリティーサービス」と、ネットワークを監視するUTMのパッケージ「TASKGUARD UTM CPセキュリティーサービス」の2種類。CSIRTの構築と併せて、社内のセキュリティー体制を強化していただけるのが特長です。
CSIRTの役割を理解して社内のセキュリティー体制を整備しましょう
セキュリティーインシデントに対応するCSIRT(シーサート)の役割をお伝えしました。インシデントの発生時にCSIRTが対応すると、事態を解決に導いたり被害を最小限にとどめたりすることができます。それだけでなく、事前対応や社内のセキュリティー品質向上により、インシデントが発生する可能性を減らすこともCSIRTの大切な役割だといえます。こうした役割を踏まえて、自社に適したCSIRTの構築をご検討ください。当社では、CSIRTと併せて企業のセキュリティー対策を強化できる「TASKGUARD セキュリティーサービス」を提供しています。企業向けセキュリティーサービスをお求めの情報セキュリティーのご担当者様は、どうぞお気軽にお問い合わせください。
お役立ち資料
社内の機密情報流出を防ぐチェックリスト全50項目
自社のセキュリティー状況を把握できるチェックリストを無料公開。50項目の質問に答えることで、自社のセキュリティー課題を知ることができます。
京セラドキュメントソリューションズが提供するお役立ちコラムでは、業務上の課題解決のヒントや、現在のビジネストレンドなど、知っておきたい情報を業種やテーマごとに発信しております。また、ペーパーレス化やセキュリティ強化などを詳しく解説したお役立ち資料を無料で公開しておりますので、ぜひご覧ください。