CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説

情報セキュリティ

CSIRT

セキュリティ体制構築支援

中小企業

CSIRTとは?役割やSOCとの違い、構築のプロセスについて解説

山口 Tacos

山口 Tacos

2022.07.15

CSIRT(シーサート)とは、セキュリティインシデントの対応チーム/組織のことをいいます。なぜこのような、インシデントの発生を前提とした組織が必要とされるのでしょうか?本記事では、CSIRTの役割、活動内容、SOCとの違いなどについてわかりやすく解説し、社内CSIRTの構築プロセスも紹介します。

CSIRTとは?

CSIRTとは?何の略称?読み方と定義

「CSIRT(シーサート / Computer Security Incident Response Team)」とは、コンピューターセキュリティに関連する問題を専門に扱うインシデント対応チーム/組織のことです。CSIRTは、インシデント(※)が発生した際の初動から被害縮小化、復旧、予防までを担当します。

 

※ここでの「インシデント」とは、情報流出やマルウェア感染、攻撃者によるシステムへの侵入、Webページの改ざんなど、情報システムの運用におけるセキュリティ上の問題として捉えられる事象のことをいいます。

CSIRTとJPCERTの違い

CSIRT(シーサート)とJPCERT(ジェイピーサート)は響きが似ているので混同されることもありますが、両者はどう違うのでしょうか?

JPCERTコーディネーションセンター (JPCERT/CC) は、「技術的な立場における日本の窓口CSIRT」とされる組織で、つまりは、数あるCSIRTの中の1つです。JPCERTは、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っています。

なお、JPCERTの「サート」の部分はCSIRTと同じ響きながらも綴りは異なり、「Japan Computer Emergency Response Team」の略称です。

CSIRTの必要性

CSIRTの主な役目は、インシデント発生時の対応です。ではなぜ、このような「セキュリティ事故は起こるもの」という考えを前提にした対応チームが必要とされるのでしょうか?以下に、理由をいくつか挙げています。

インシデントはいつ発生してもおかしくない

近年、ITを取り巻く環境の変化によってサイバー攻撃被害が増加しています。被害者数が増えているということは、自社が被害に遭う確率も高まっているということです。また、業務のIT依存の高まりや情報システムの複雑化によって、機器や情報資産、システムを安全に管理することが難しくなってきています。インシデントを100%防ぐのは不可能であるため、発生時にできる限り効果的な対応ができるよう準備しておく必要があります。

関連記事

CSIRT構築のイメージ

情報セキュリティ

情報セキュリティ

CSIRT

セキュリティ体制構築支援

中小企業

情報資産とは?関連脅威や管理の方法、ISMSとの関係などについて解説

山口 Tacos

山口 Tacos

2022.07.15

迅速なインシデント対応には、事前の体制構築が不可欠

インシデントが発生してから対応方法を検討し、体制を構築していては時間がかかり過ぎてしまい、被害の拡大を抑えることができません。そのため、対応フロー(対応手順)を策定・周知しておく、社内における連絡窓口を設定しておく、など、事前に体制構築を行なっておくことが求められます。後述するように、CSIRTには、インシデント発生前に対応フロー策定や脆弱性情報収集などの活動を行い、有事の際に備えるという機能があります。

インシデント対応中、とりまとめ役が不在だと混乱が生じる恐れ

CSIRTは、各部署から寄せられる情報をとりまとめて経営層に報告したり、経営層が決定した対応方法を各部署に伝達したりといった、社内連携の確保・調整役を担います。また、CSIRTは取引先や被害者、関係省庁といった外部組織との連絡窓口も務めます。このような役目を果たすチームや部門が存在しない場合、社内外からの情報が一元化されず、混乱が生じたり対応に遅れが出たりしてしまう恐れがあります。

CSIRTの役割と業務内容

CSIRTはインシデント発生時の初動から被害縮小化、復旧、予防までを担うため、消防署の組織に例えられることが多いです。

消防署の役割に例えたCSIRTの役割

🚒119番の受付

インシデント発生時の連絡受付。

🚒火災規模の判断と対応方法の決定

インシデントの分類、対応可否の判断(CSIRTで対応する必要があるのか or 情報システム部門など他部門での対応が可能なのか)、対応方法の決定。

🚒消火・救出活動

インシデント原因の排除・被害縮小化・復旧(ウイルス除去、システム停止、パッチ適用など)。

🚒火事の予防

従業員へのセキュリティ教育・啓発、注意喚起。

消防署に例えるCSIRTの役割

消防署に例えるCSIRTの役割

具体的な活動・業務内容

CSIRTの主な活動や業務内容について、インシデント発生前(平常時)とインシデント発生時・発生後に分けて以下の表にまとめました。

インシデント発生前(平常時)のCSIRTの活動・業務
情報収集インシデント関連情報、脆弱性情報、攻撃予兆情報の収集。
インシデント対応フロー策定インシデントが発生した際に遅滞なく対応を開始できるようにするための対応フロー(対応手順)の策定・周知。
現状把握自社が所有する情報資産やリスクの把握。
社内連携の確保各部署から報告される情報セキュリティに関する情報のとりまとめや、関係部署・経営層への報告など。
外部との連携他社のCSIRTや日本シーサート協議会(NCA)※、外部SOCチーム、セキュリティ顧問(外部コンサルなど)などとの連携、情報共有、信頼関係構築。
連絡窓口社内および外部に対する連絡先情報(電話番号やEメールアドレス)の提供・周知。
従業員教育・注意喚起インシデントを予防するためのセキュリティ教育や意識向上トレーニングの実施、注意喚起。

(JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」「CSIRT ガイド」を参考に作成)

※日本シーサート協議会とは?

日本シーサート協議会(NCA)は、各CSIRT間の緊密な連携を図り、CSIRTにおける課題解決に貢献するための組織です。コンピューターセキュリティをめぐる状況の変化やサイバー攻撃の複雑化・巧妙化に伴い、CSIRT同士の緊密な連携や情報共有が重視されるようになったことなどを背景として、2007年に設立されました。2022年9月1日時点で、457の国内CSIRTがNCAに加盟しています。

主な活動内容は、インシデント情報や対応手法などに関する会員間の情報共有や、CSIRT間に共通する課題の解決などを目指すワーキンググループ活動、および報告や意見交換を行うための年次会合などです。なお、NCAに加盟するためには既存加盟チームからの推薦を受けて審査を受審する必要があります。

インシデント発生時/発生後のCSIRTの活動・業務
インシデントのトリアージインシデントの分類、優先順位や対応可否の判断(CSIRTが直接対応を行うべきか、対応は特定部署に任せて支援だけすれば十分か、などの判断)。
対応方法の決定、関係部署への指示伝達インシデントの原因や影響範囲などを踏まえた対応方法の決定と、関係部署や実際に技術的対応を行う担当者への指示伝達。
インシデント対応インシデント原因排除や被害縮小化のための対応(マルウェア除去、パッチ適用、当該機器のネットワークからの切り離し、システム設定の変更など)の実施や支援、調整。
社内連携の確保部署をまたいで発生したインシデントにおける、情報のとりまとめ・伝達などの社内調整役。
外部への連絡・報告・通知警察や関係省庁、ISMSなどの審査機関、個人情報保護委員会などへの報告のほか、被害者や取引先企業などへの通知。記者会見対応やプレスリリース発信などの対応。
アーティファクト分析機器内のログやマルウェアなどのアーティファクト(インシデントが発生した際に残される痕跡)の分析。

(JPCERT/CC資料「CSIRTマテリアル構築フェーズ『組織内CSIRTの理解』」「CSIRT ガイド」を参考に作成)

関連記事

CSIRT構築のイメージ

情報セキュリティ

情報セキュリティ

CSIRT

セキュリティ体制構築支援

中小企業

インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!

山口 Tacos

山口 Tacos

2022.07.15

CSIRTとSOCの違い

SOCとは?

CSIRTに関連して、「SOC」という言葉を目にしたことがあるという方も多いかもしれません。SOC(ソック / Security Operation Center)とは、企業などの組織において、情報システムに対する脅威の監視や分析などを行う役割や専門チームのことをいいます。

関連記事

CSIRT構築のイメージ

情報セキュリティ

情報セキュリティ

CSIRT

セキュリティ体制構築支援

中小企業

EDRは必要?アンチウイルスやEPPとの違い、運用コストは?

山口 Tacos

山口 Tacos

2022.07.15

CSIRTとSOCの違い

役割の違い

CSIRTではインシデントが発生した際の対応に重点が置かれているのに対し、SOCではインシデントの検知に重点が置かれています。

求められるスキルの違い

CSIRTは社内外との連絡窓口を担うため、セキュリティの知識に加えて高いコミュニケーション能力を備える人物やチームプレイが得意な人物がメンバーとして重宝されます。一方SOCはログの収集・解析など技術的な業務を担当するため、より高度なセキュリティスキルや経験・知識を持つ人員が必要になります。

形態の違い

CSIRTは社内に構築される組織です(機能の一部をアウトソーシングするケースはあります)。しかしSOCは、社内で構築することも、外部にアウトソーシングすることも可能です。

SOCのアウトソーシング

SOCを社内で構築・運用するのは簡単ではありません。その理由の1つは、そもそも高度なセキュリティ人材を確保するのが困難であるためです。また、SOCでは24時間365日体制で監視を行いますが、それを実現するにはローテーションを組めるだけの要員を確保せねばなりません。採用活動に関わるコストや人件費、人材育成費などを考えると、社内SOCの構築・運用は企業にとって多大な負担となる場合があります。

このような事情から、多くの企業がSOCを外部にアウトソーシングしています。SOC事業者は主に、24時間365日の監視、専門アナリストによるログ解析、アラートやレポートの送付といったサービスを提供しています。こういったサービスを適切に利用すれば、外部SOCと連携するCSIRTは異常を素早く検知することができ、インシデントに遅滞なく対応できます。

CSIRTの社内構築に必要なこと

現状把握

CSIRTの構築と活動に必要な情報を収集・整理するためには、自社の現状を把握しておかなければなりません。以下に挙げるような事項について、各部署のセキュリティ担当者や過去のインシデント対応に関わったことがある社員などにヒアリング調査し、情報を集める必要があります。

・過去に社内で発生したインシデントの対応履歴と問題点

・各部署の業務フローや現在のセキュリティ体制

・インシデント対応に関する経営層からの期待

人員・予算の確保

人員

CSIRTを構成する要員に加えて、構築活動を行うための人員(チーム)も必要になります。構築メンバーには、情報セキュリティや業務システムに明るい社員、社内の業務に詳しい社員、豊富な経験を持っている社員などが適任です。構築メンバーに選ばれた社員は、そのままCSIRT本体の要員になることが多いです。

CSIRTの組織体

社内CSIRTの組織体は各企業によってさまざまですが、以下の体制図のように、大きく①専門・集中型と②バーチャル型の2通りに分けることができます。どのタイプを選ぶかについては、想定される活動内容や機能に応じて検討が必要になります。

CISRT体制図2種

CSIRTの体制図

(JPCERT/CC資料「経営リスクと情報セキュリティ~CSIRT:緊急対応体制が必要な理由~」などを参考に筆者作成)

予算

CSIRT要員へのセキュリティ教育(外部に委託したり外部サービスを利用して行う場合)や、新たなソフトウェア類の導入(必要な場合)などに、コストがかかることがあります。また、外部のCSIRT構築支援サービスを利用する場合には、その予算が必要になります。

活動内容の設計

上述の通り、想定される活動内容や機能によって構築すべき組織体は変わってきますし、それに応じて予算なども異なってきます。そのため、以下の項目について検討・決定しておく必要があります。

・活動の対象と、その中でも特に重要なポイント(インシデントが発生しやすい部署や重要な情報資産を扱う部署など)

・責務や活動目的(複数ある場合は優先順位も)

・活動内容

・自社におけるCSIRTの位置づけ

CSIRT構築までのプロセス

社内CSIRTの構築プロセス

以下は、CSIRT構築の大まかな流れの一例です。

① 経営層から理解を得る

まずは経営層にCSIRTの必要性を理解してもらい、構築を開始するための承認を得ます。

② 社内の現状把握

各部署の業務フローや自社の現在のセキュリティ体制、インシデント対応に関連する社内規則などを確認し、現状を把握します。

③ 社内CSIRT構築活動を行うためのチームの結成

②の現状把握の結果を踏まえ、チームメンバー適任者(情報セキュリティに明るい人、組織内の業務に詳しい人など)を選定し、チームリーダーを指定します。

④ 社内CSIRTの設計と計画

CSIRTの責務や活動内容、自社における位置づけなどを検討して決定し、決まった内容を文書化します。

⑤ 必要な予算やリソースの獲得

CSIRTの構成員となる人員を確保し、その設立・運営に必要な予算や環境などを準備します。

⑥ 関連する規則類の整備

インシデント対応に関するポリシーやインシデント対応時の手順など、CSIRTの活動に関連する規則類を整備します。

⑦ CSIRT要員(スタッフ)への教育

⑥の規則類や情報セキュリティ全般に関する知識について教育を行い、インシデント対応のための訓練・演習を実施します。

⑧ CSIRTの告知と活動開始

社内および外部組織に向けてCSIRTの設置を告知し、活動内容や連絡先窓口などについて伝えます。

(参考:JPCERT/CC資料「CSIRTマテリアル 構築フェーズ 『組織内CSIRT構築の実践』」

構築支援サービスの利用

JPCERT/CCが「CSIRTマテリアル」として提供している一連の資料などを参考にすれば、自社のみでCSIRTを構築することも不可能ではありません。ただ、構築にはセキュリティの知識やかなりの労力が求められる上、実際に活動を開始できるようになるまでのプロセスは長期的かつ複雑なものになります。したがって、現状や予算を踏まえた上で、セキュリティコンサルティング会社が提供しているCSIRT構築支援サービスの利用を検討してみるのも1つの手です。

「CSIRT構築に携わる社員の負担が大きくなりすぎる」、「どのように活動内容を設計すればいいのかわからない」、「そもそもCSIRTが必要なのかどうかわからない」などの悩みがある場合は特に、構築支援サービスの利用をお勧めします。

関連記事

CSIRT構築のイメージ

情報セキュリティ

情報セキュリティ

CSIRT

セキュリティ体制構築支援

中小企業

セキュリティコンサルとは?比較ポイントやケーススタディ紹介

山口 Tacos

山口 Tacos

2022.07.15

マキナレコードのCSIRT構築支援サービス

弊社マキナレコードでも、CSIRT構築支援サービスを提供しています。コンサルタントがお客様のセキュリティ状況をしっかり分析し、本当に必要な支援を予算や現状に沿ったやり方で提案いたします。

主なサービス内容

✔️企業の体制に沿ったCSIRT構築・機能強化のための目標設定および設計提案

✔️取扱うべき業務の整理・精査

✔️必須機能の実装支援

✔️運用におけるトレーニング

サービスの詳細については、弊社のホームページをご覧ください。

また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。

セキュリティ体制構築支援資料ダウンロード用リンク

Writer

山口Tacosライター/翻訳者

著者

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ