CSIRTとはComputer Security Incident Response Teamの略で「シーサート」と呼ばれるのが一般的です。直訳すると「コンピュータセキュリティインシデント対応チーム」となるとおり、インシデント、つまりセキュリティ上の問題としてとらえられる事象が発生した際に対応するチームのことを指します。
そのために、業務としては、日常的には脆弱性情報などの収集を行い、インシデント発生時には直接的な対応と、社内外の組織との情報共有や連携を行います。
なおCSIRTに関連した組織としてSOC(Security Operation Center)がありますが、この両者の違いは、SOCはインシデント発生の前からインシデント発生の検知までに重きを置いているのに対し、CSIRTはインシデント発生後の対応(マネジメント)に重きを置いていることが挙げられます。
では、なぜCSIRTという組織が必要なのでしょうか。
ほとんどすべての組織には、守るべき情報資産があります。したがって、それが漏えいしたり紛失したり侵害されたりする問題、すなわちセキュリティインシデント(セキュリティ事故)の脅威に常にさらされていると言ってよいでしょう。
とりわけ大企業や公的組織といった組織は、その保有している情報資産の価値も高く、外部の攻撃者に狙われやすくなっています。
インシデント対応は組織にとって非常に大きな課題であり、ひとたびインシデントが発生すると、サービス継続、復旧、そして法的な対応に追われるなど多大な人的コストが発生します。また直接のコストとしては算出が難しいですが、「あの組織はセキュリティインシデントを起こした組織である」という評判によって損失するビジネスの機会などを含めると損害は甚大です。
しかし、サイバー攻撃の手段は年々高度化・先鋭化しており、インシデントを完全に防ぐことは多くの場合困難です。セキュリティインシデントが起きないような体制を作る一方で、インシデントは起きるものと考え、起きたときの対策と復旧を最適に行うことが求められています。
CSIRTはこのように、「セキュリティインシデントが起きたあとの対策」を扱うチームです。いざセキュリティインシデントが生じたときに、そのコストを最小限にすることがチームの役割として求められます。
CSIRTの活動はしばしば消防にたとえられます。インシデント発生前の「防火活動」および、インシデント発生時の「消火活動」に分けて考えられます。
上記の例でいう「防火活動」にあたり、日常的には脆弱性の調査・分析、また他組織のCSIRTとの情報交換を行います。
また自組織においては経営層を含む幅広い下部組織に対して教育・啓発を行い、「セキュリティインシデントに対する119番」という意識を持ってもらうことも大事です。
こちらは「消火活動」、つまり実際にインシデントが起きてしまった際にそれを「鎮火」させる活動です。
セキュリティインシデントが発生してしまった際は、まずは初期の事態収束化を図ります。事前対応で得られた社内外の連携を生かし、どこに事態を報告すべきなのか、技術的協力を受けるべき社内外の組織はどこか、被害拡大防止のためには何を行えばよいのか、といったことを迅速に判断する必要があります。
インシデントの種類によってはリアルタイムな経営判断が必要となる場合がありますので、特に経営層との連携は重要です。
技術的には開発部署やその部署が委託している外部ベンダー、またセキュリティベンダーの協力を仰ぐ必要もあるでしょう。その場合でも任せきりではなく、最終的なジャッジを行う責務はCSIRTにあります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
