CSIRTとは何か?SOCとの違いや構築のプロセス | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > 情報セキュリティ > CSIRTとは何か?SOCとの違いや構築のプロセス

CSIRTとは何か?SOCとの違いや構築のプロセス

 

CSIRT(シーサート)とは、セキュリティインシデントの対応チーム/組織のことをいいます。なぜこのような、インシデントの発生を前提とした組織が必要とされるのでしょうか?本記事では、CSIRTの役割、活動内容、SOCとの違いなどについて説明し、社内CSIRTの構築プロセスも紹介します。

目次

1, CSIRTとは?

CSIRTとは?読み方と定義

CSIRTの必要性

CSIRTの役割と業務内容

2, CSIRTとSOCの違い

SOCとは?

CSIRTとSOCの違い

SOCのアウトソーシング

3, CSIRTの社内構築に必要なこと

現状把握

人員と予算の確保

活動内容の設計

4, CSIRT構築までのプロセス

社内CSIRTの構築プロセス

構築支援サービスの利用

マキナレコードのCSIRT構築支援サービス

CSIRTとは?

CSIRTとは?読み方と定義

「CSIRT(シーサート / Computer Security Incident Response Team)」とは、コンピューターセキュリティに関連する問題を専門に扱うインシデント対応チーム/組織のことです。CSIRTは、インシデント(※)が発生した際の初動から被害縮小化、復旧、予防までを担当します。

 

※ここでの「インシデント」とは、情報流出やマルウェア感染、攻撃者によるシステムへの侵入、Webページの改ざんなど、情報システムの運用におけるセキュリティ上の問題として捉えられる事象のことをいいます。

CSIRTの必要性

CSIRTの主な役目は、インシデント発生時の対応です。ではなぜ、このような「セキュリティ事故は起こるもの」という考えを前提にした対応チームが必要とされるのでしょうか?以下に、理由をいくつか挙げています。

インシデントはいつ発生してもおかしくない

近年、ITを取り巻く環境の変化によってサイバー攻撃被害が増加しています。被害者数が増えているということは、自社が被害に遭う確率も高まっているということです。また、業務のIT依存の高まりや情報システムの複雑化によって、機器や情報資産、システムを安全に管理することが難しくなってきています。インシデントを100%防ぐのは不可能であるため、発生時にできる限り効果的な対応ができるよう準備しておく必要があります。

迅速なインシデント対応には、事前の体制構築が不可欠

インシデントが発生してから対応方法を検討し、体制を構築していては時間がかかり過ぎてしまい、被害の拡大を抑えることができません。そのため、対応フロー(対応手順)を策定・周知しておく、社内における連絡窓口を設定しておく、など、事前に体制構築を行なっておくことが求められます。後述するように、CSIRTには、インシデント発生前に対応フロー策定や脆弱性情報収集などの活動を行い、有事の際に備えるという機能があります。

インシデント対応中、とりまとめ役が不在だと混乱が生じる恐れ

CSIRTは、各部署から寄せられる情報をとりまとめて経営層に報告したり、経営層が決定した対応方法を各部署に伝達したりといった、社内連携の確保・調整役を担います。また、CSIRTは取引先や被害者、関係省庁といった外部組織との連絡窓口も務めます。このような役目を果たすチームや部門が存在しない場合、社内外からの情報が一元化されず、混乱が生じたり対応に遅れが出たりしてしまう恐れがあります。

CSIRTの役割と業務内容

CSIRTはインシデント発生時の初動から被害縮小化、復旧、予防までを担うため、消防署の組織に例えられることが多いです。

消防署の役割に例えたCSIRTの役割

🚒119番の受付

インシデント発生時の連絡受付。

🚒火災規模の判断と対応方法の決定

インシデントの分類、対応可否の判断(CSIRTで対応する必要があるのか or 情報システム部門など他部門での対応が可能なのか)、対応方法の決定。

🚒消火・救出活動

インシデント原因の排除・被害縮小化・復旧(ウイルス除去、システム停止、パッチ適用など)。

🚒火事の予防

従業員へのセキュリティ教育・啓発、注意喚起。

具体的な活動・業務内容

以下の表に、CSIRTの主な活動や業務内容をまとめました。

インシデント発生前(平時)の活動・業務
情報収集インシデント関連情報、脆弱性情報、攻撃予兆情報の収集。
インシデント対応フロー策定インシデントが発生した際に遅滞なく対応を開始できるようにするための対応フロー(対応手順)の策定・周知。
現状把握自社が所有する情報資産やリスクの把握。
社内連携の確保各部署から報告される情報セキュリティに関する情報のとりまとめや、関係部署・経営層への報告など。
外部との連携他社のCSIRTやNCA(日本シーサート協議会)、外部SOCチーム、セキュリティ顧問(外部コンサルなど)などとの連携、情報共有、信頼関係構築。
連絡窓口社内および外部に対する連絡先情報(電話番号やEメールアドレス)の提供・周知。
従業員教育・注意喚起インシデントを予防するためのセキュリティ教育や意識向上トレーニングの実施、注意喚起。

(JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」「CSIRT ガイド」を参考に作成)

インシデント発生時/発生後の活動・業務
インシデントのトリアージインシデントの分類、優先順位や対応可否の判断(CSIRTが直接対応を行うべきか、対応は特定部署に任せて支援だけすれば十分か、などの判断)。
対応方法の決定、関係部署への指示伝達インシデントの原因や影響範囲などを踏まえた対応方法の決定と、関係部署や実際に技術的対応を行う担当者への指示伝達。
インシデント対応インシデント原因排除や被害縮小化のための対応(マルウェア除去、パッチ適用、当該機器のネットワークからの切り離し、システム設定の変更など)の実施や支援、調整。
社内連携の確保部署をまたいで発生したインシデントにおける、情報のとりまとめ・伝達などの社内調整役。
外部への連絡・報告・通知警察や関係省庁、ISMSなどの審査機関、個人情報保護委員会などへの報告のほか、被害者や取引先企業などへの通知。記者会見対応やプレスリリース発信などの対応。
アーティファクト分析機器内のログやマルウェアなどのアーティファクト(インシデントが発生した際に残される痕跡)の分析。

(JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」「CSIRT ガイド」を参考に作成)

 

CSIRTとSOCの違い

SOCとは?

CSIRTに関連して、「SOC」という言葉を目にしたことがあるという方も多いかもしれません。SOC(ソック / Security Operation Center)とは、企業などの組織において、情報システムに対する脅威の監視や分析などを行う役割や専門チームのことをいいます。

CSIRTとSOCの違い

役割の違い

CSIRTではインシデントが発生した際の対応に重点が置かれているのに対し、SOCではインシデントの検知に重点が置かれています。

求められるスキルの違い

CSIRTは社内外との連絡窓口を担うため、セキュリティの知識に加えて高いコミュニケーション能力を備える人物やチームプレイが得意な人物がメンバーとして重宝されます。一方SOCはログの収集・解析など技術的な業務を担当するため、より高度なセキュリティスキルや経験・知識を持つ人員が必要になります。

形態の違い

CSIRTは社内に構築される組織です(機能の一部をアウトソーシングするケースはあります)。しかしSOCは、社内で構築することも、外部にアウトソーシングすることも可能です。

SOCのアウトソーシング

SOCを社内で構築・運用するのは簡単ではありません。その理由の1つは、そもそも高度なセキュリティ人材を確保するのが困難であるためです。また、SOCでは24時間365日体制で監視を行いますが、それを実現するにはローテーションを組めるだけの要員を確保せねばなりません。採用活動に関わるコストや人件費、人材育成費などを考えると、社内SOCの構築・運用は企業にとって多大な負担となる場合があります。

このような事情から、多くの企業がSOCを外部にアウトソーシングしています。SOC事業者は主に、24時間365日の監視、専門アナリストによるログ解析、アラートやレポートの送付といったサービスを提供しています。こういったサービスを適切に利用すれば、外部SOCと連携するCSIRTは異常を素早く検知することができ、インシデントに遅滞なく対応できます。

CSIRTの社内構築に必要なこと

現状把握

CSIRTの構築と活動に必要な情報を収集・整理するためには、自社の現状を把握しておかなければなりません。以下に挙げるような事項について、各部署のセキュリティ担当者や過去のインシデント対応に関わったことがある社員などにヒアリングし、情報を集める必要があります。

 

・過去に社内で発生したインシデントの対応履歴と問題点

・各部署の業務フローや現在のセキュリティ体制

・インシデント対応に関する経営層からの期待

人員・予算の確保

人員

CSIRTを構成する要員に加えて、構築活動を行うための人員(チーム)も必要になります。構築メンバーには、情報セキュリティや業務システムに明るい社員、社内の業務に詳しい社員、豊富な経験を持っている社員などが適任です。構築メンバーに選ばれた社員は、そのままCSIRT本体の要員になることが多いです。

CSIRTの組織体

社内CSIRTの組織体は各企業によってさまざまですが、大きく①専門・集中型と②バーチャル型の2通りに分けることができます。どのタイプを選ぶかについては、想定される活動内容や機能に応じて検討が必要になります。

(JPCERT/CC資料「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」などを参考に筆者作成)

予算

CSIRT要員へのセキュリティ教育(外部に委託したり外部サービスを利用して行う場合)や、新たなソフトウェア類の導入(必要な場合)などに、コストがかかることがあります。また、外部のCSIRT構築支援サービスを利用する場合には、その予算が必要になります。

活動内容の設計

上述の通り、想定される活動内容や機能によって構築すべきCSIRTの組織体は変わってきますし、それに応じて予算なども異なってきます。そのため、以下の項目について検討・決定しておく必要があります。

 

・活動の対象と、その中でも特に重要なポイント(インシデントが発生しやすい部署や重要な情報資産を扱う部署など)

・責務や活動目的(複数ある場合は優先順位も)

・活動内容

・自社における位置づけ

CSIRT構築までのプロセス

社内CSIRTの構築プロセス

以下は、CSIRT構築の大まかな流れの一例です。

① 経営層から理解を得る

まずは経営層にCSIRTの必要性を理解してもらい、CSIRT構築を開始するための承認を得ます。

② 社内の現状把握

各部署の業務フローや自社の現在のセキュリティ体制、インシデント対応に関連する社内規則などを確認し、現状を把握します。

③ 社内CSIRT構築活動を行うためのチームの結成

②の現状把握の結果を踏まえ、チームメンバー適任者(情報セキュリティに明るい人、組織内の業務に詳しい人など)を選定し、チームリーダーを指定します。

④ 社内CSIRTの設計と計画

CSIRTの責務や活動内容、自社における位置づけなどを検討して決定し、決まった内容を文書化します。

⑤ 必要な予算やリソースの獲得

CSIRTの構成員となる人員を確保し、CSIRTの設立・運営に必要な予算や環境などを準備します。

⑥ 社内CSIRTに関連する規則類の整備

インシデント対応に関するポリシーやインシデント対応時の手順など、CSIRTの活動に関連する規則類を整備します。

⑦ CSIRT要員(スタッフ)への教育

⑥の規則類や情報セキュリティ全般に関する知識について教育を行い、インシデント対応のための訓練・演習を実施します。

⑧ CSIRTの告知と活動開始

社内および外部組織に向けてCSIRTの設置を告知し、活動内容や連絡先窓口などについて伝えます。

 

(参考:JPCERT/CC資料「CSIRTマテリアル 構築フェーズ 『組織内CSIRT構築の実践』」

構築支援サービスの利用

JPCERT/CCが「CSIRTマテリアル」として提供している一連の資料などを参考にすれば、自社のみでCSIRTを構築することも不可能ではありません。ただ、構築にはセキュリティの知識やかなりの労力が求められる上、実際にCSIRTの活動を開始できるようになるまでのプロセスは長期的かつ複雑なものになります。したがって、現状や予算を踏まえた上で、セキュリティコンサルティング会社が提供しているCSIRT構築支援サービスの利用を検討してみるのも1つの手です。

「CSIRT構築に携わる社員の負担が大きくなりすぎる」、「どのようにCSIRTの活動内容を設計すればいいのかわからない」、「そもそもCSIRTが必要なのかどうかわからない」などの悩みがある場合は特に、構築支援サービスの利用をお勧めします。

マキナレコードのCSIRT構築支援サービス

弊社マキナレコードでも、CSIRT構築支援サービスを提供しています。コンサルタントがお客様のセキュリティ状況をしっかり分析し、本当に必要な支援を予算や現状に沿ったやり方で提案いたします。

主なサービス内容

✔️企業の体制に沿ったCSIRT構築・機能強化のための目標設定および設計提案

✔️取扱うべき業務の整理・精査

✔️必須機能の実装支援

✔️運用におけるトレーニング

 

サービスの詳細については、弊社のホームページをご覧ください。

 

また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。