【情シス基礎知識】CISOとCSIRT、その関係性は?

「CISO」や「CSIRT」といったセキュリティ専門職が今注目されています。これらの職種は、情報セキュリティの重要性が高まっている時代の申し子のような存在です。こうした職種の企業内での立ち位置や相互の関係性、また具体的な仕事内容はどのようなものでしょうか。

セキュリティ対応が情シスから独立化している

情シスなら最近よく目にするであろう「CSIRT」や「CISO」といったセキュリティ関連用語。よく耳にするが、具体的にどのようなものかは把握できてないという情シス担当者もいるのではないでしょうか。CSIRT/CISOは、情報セキュリティを専門とする職業です。セキュリティ対応がいわゆる“システム部隊”の業務の一部であった状態から、“専門部隊”の行う業務へ変化してきたことによって登場した職種です。

情報化社会の成熟により企業や組織の扱う情報が多くなり、また慎重に扱うべきものになってきています。そうした情報を狙うサイバー犯罪も増加の一途をたどっており、本来の企業活動を守るために情報セキュリティの重要性が高まっています。そうした中、2010年代に入った頃からCSIRTやCISOなどのセキュリティ対応専門職が日本国内で徐々に増え始めました。そしてここ2~3年で大きく広がりを見せています。CISOとCSIRTという職種において、企業内での位置づけや具体的にどういった業務を行っているのか見ていきましょう。

 

企業のセキュリティを守るCISO、インシデント対応はCSIRT

まず「CISO(Chief Information Security Officer)」ですが、ざっくりといえば、企業の情報セキュリティにおける最高責任者のことを指します。「CSIRT(Computer Security Incident Response Team)」とは情報セキュリティ部門の中でもインシデント対応に特化したチームのことを指します。

CISOは情報セキュリティ部門を仕切る役職者で、経営層またはそれに近い権限を持ち企業の情報セキュリティに関する一切の事項を統括する役割を持っています。以前は、CIO(Chief Information Officer)が統括する情報システム部門が、システムのセキュリティ対策についてもシステム構築や運用業務の一部として担ってきたケースが多数でした。近年のサイバー犯罪のリスクや情報セキュリティの重要さが高まってきたことで、情報セキュリティ専門職であるCISOが登場し、IPAが従業員300人以上の企業を対象に実施した「企業のCISOやCSIRTに関する実態調査2017」では日本国内でのCISO設置率はすでに60%を超えています。アメリカや欧州に比べれば低い数字ですが、それでも過半数の企業が設置しており、欧米に追随して今後も増えていくことが予想されます。

このCISOが統括するインシデント対応の実働チームとして、CSIRTがあります。次の図は、CISOとCSIRTについて企業内での一般的な位置づけを表した図になります。

CSIRTについてもう少し具体的に見てみましょう。CSIRTとは、情報セキュリティ事故の対応を専門で行うチームのことです。平常時は社内のセキュリティ施策の実行や他企業・団体との脆弱性などに関する情報共有を行うなど、セキュリティ事故を予防するための業務を行います。そしてひとたびインシデントが発生した際には、実際の対処、対応状況の管理、社外への情報発信などの事故対応業務を行います。前述の調査ではCSIRTの設置率は約66%となっています。

なお、“セキュリティ部隊”としてCSIRTと並んで「SOC」が設置されるケースもあります。「SOC(Security Operation Center)」、こちらは情報セキュリティ監視センターのことです。監視センターは24時間365日サイバー攻撃を監視し、ネットワーク通信のログ監視などによる攻撃検出と、パターン解析などによる分析を行います。同じセキュリティ部隊でもミッションの違いがあり、CSIRTはセキュリティ対応に重点が置かれ、SOCは攻撃監視に重点が置かれています。

 

情報セキュリティのために必要なことをおさらいしてみよう

さてここで、企業の情報セキュリティにどのような業務や対応が必要であるかを改めて整理してみましょう。

まず、すべてのセキュリティ施策や体制構築の基本となるのが、セキュリティポリシーです。

セキュリティポリシーとは、セキュリティ対策の対象とする脅威や、機密情報など保護対象の指定、セキュリティに関して社員がとるべき行動指針などがまとめられたセキュリティ基本指針のことです。セキュリティポリシーはガイドラインとして全社員に共有されるべきものです。昨今のセキュリティへの関心の高まりを受け、社外に公開する企業も増えています。また、情報を取り扱うガイドラインとして、機密情報や個人情報の管理規定を定めることもCISO率いるセキュリティ部門で行うことがあります。

これらのガイドラインに基づいて企業の所有するIT資産や情報に対してセキュリティ保護を行いますが、その対策はNISTフレームワークに従うと特定・防御・検知・対処・復旧のフェーズに分けて考えることができます。各フェーズの業務や必要な体制を見てみましょう。

 

インシデント対応のフレームワーク

●特定
セキュリティポリシーに基づき、具体的なリスク分析を行います。その時々に流行している攻撃手口や詐欺事例などの情報収集を行い、企業の業務形態や経営戦略などと突き合せて防御対象を決めるのです。そして保護するべき情報やシステム部位などを具体的に定め、資産管理を行います。

●防御
セキュリティポリシーに基づき、システムのセキュリティレベルを定めます。そしてそのレベル達成のために必要な設備や体制を整備します。具体的には、ネットワークのゲートウェイにファイヤウォールを置く、サーバーにはウイルス対策ソフトを入れるなどのセキュリティシステムを整えます。また、システムへの直接攻撃ではなく社員を標的としたメール詐欺攻撃などのソーシャルエンジニアリングに対する防御もできるよう、社員へのセキュリティ教育も行います。

●検知
システムの監視を行います。セキュリティ製品のログなどを監視し、怪しい情報や攻撃の兆候がないかを確認します。24時間365日の監視が必要になることも多く、監視用システムに加えSOCなど監視対応チームが必要となるケースもあります。

●対処・復旧
インシデントが発生したら、関係各所への連絡とインシデントの特定、該当インシデントの重大さを判定し優先度設定を行ったうえで実際の対応を行います。関係各所と連携して技術対処や対内/対外調整を行い、被害箇所を極小化します。インシデントの対応状況の管理や情報共有を行い、対処が終わったら通常業務に戻すためのシステム復旧を行います。対応状況やインシデント事例は、情報共有のための事例資料として、復旧が終わった後も管理します。

 

こうした業務の中で、CSIRTは狭義には対応・復旧の役割を負います。技術的役割のみであれば、自社にチームを置かずに専門企業にアウトソーシングして利用することもしやすく、実際にNTTアドバンステクノロジやマクニカネットワークスなどの企業がCSIRTサービスを提供しています。しかしながら、特に自社内にCSIRTを設置している場合は特定~復旧までのフェーズに関わるケースが多く、前述のIPAの調査ではCSIRTに求める業務として「脅威に対する情報収集・分析・対応」「セキュリティ監査、評価」「セキュリティツールの管理・運用」が上位となっています。

CSIRTにはセキュリティインシデントに関わる全フェーズを通して活動することで実際の被害を抑えることが求められているのです。

 

CSIRTに人材不足の課題あり

上記のセキュリティに関する業務で、CSIRTは特にインシデントに関する大部分を担います。セキュリティ事故発生時には、CSIRTの活躍しだいで企業の受けるダメージは小さくも大きくもなります。CSIRTとは、企業の実利・実害だけでなく一般社会でのイメージまでも左右する重要な役割を担っているといえます。そしてCISOはCSIRTのトップです。CISOはセキュリティインシデントでは社内外への説明や営業に関わる社内調整を行うことが避けられないため、そうした企業活動に関係する意思決定を担います。そして、CSIRTが有効に活動を行うための経費・人材の確保がCISOの任務となります。

しかしながら、IPAの実施したCSIRT設置済みの企業へのアンケートにて、CSIRTの有効性が期待したレベルを満たしているという回答が全体の20%にも満たないという結果がありました。アメリカ・欧州に比べ日本の満足度レベルが突出して低いことがわかります。

また、CSIRTの有効性を高めるための要素として、『セキュリティ技術のスキルの高い人材を確保することが有効』とする回答が頭一つ抜けて多い結果となっています。この2つの結果は、日本国内において現在のCSIRT運営にはセキュリティスキルの高い人材が足りていないということを示しているといえるでしょう。

CISOの統括するセキュリティ部門、その中でインシデント管理を担当するCSIRT。今後も設置される企業が増えていくことが推測され、セキュリティ人材需要の高まりに拍車をかけることが予想されます。

 

【執筆:編集Gp 星野 美緒】

 

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る