【情シス基礎知識】最近よく聞く、CSIRTってなに?
この記事の目次
セキュリティ問題の”火消し役”(専門職)登場
情報セキュリティに多少なりとも関わっている人ならば、「CSIRT」という単語はもはや見慣れてきたことでしょう。
キヤノン「Canon-CSIRT」、NTTコムウェア「CW-CSIRT」、大東建託「DK-SIRT」など、さまざまな企業で、企業名を冠したCSIRTを保持しています。「CSIRT」とは正式にはComputer Security Incident Response Teamといい、情報セキュリティ事故の対応を専門で行うチームのことを指しています。
よくCSIRTは消防団に例えられます。普段はセキュリティ事故の予防策を講じ、セキュリティ事故発生時に備えスタンバイをしています。そしてひとたびインシデントが発生すれば立ち上がって関係各所を指揮し消火活動を行うのです。
<画像出展:日本シーサート協議会>
歴史上でのCSIRTの登場は1980年代後半のアメリカで、当時大流行したマルウェアに対応するために大学に設置されたチームが始まりといわれています。このCSIRTは「CERT/CC(Coordination Center)」と呼ばれ、組織をまたぎ連携してマルウェアの脅威に立ち向かうための組織間情報共有の調整を行うことを任務としていました。そしてその後も世界各地で増え続けるサイバー犯罪に対応するため、CSIRTはさまざまな国と組織で設置されるようになりました。
日本では1996年にJPCERT/CCという組織が発足し、日本国内の組織のCSIRT間の連携窓口として、また、世界から日本への窓口として機能しています。2007年には国内組織のCSIRT間の交流の場や情報の提供を目的とする日本シーサート協議会が設立されました。2015年に経済産業省が「サイバーセキュリティ経営ガイドライン」を発表し、企業が実施すべきセキュリティ対策として緊急時のインシデント対応体制の整備を定めたこともありCSIRT設置が広がっていきました。
現代の情報化社会がCSIRTを必要としている
CSIRTはサイバー犯罪の被害を防ぎ、被害を最小化するための組織です。かつては、企業におけるセキュリティ対応は情報システム部の業務の一部となっているケースが多数でした。なぜCSIRTが独立したチームとして活躍するようになったのでしょうか。
それは、企業活動、そして社会全体が情報システムやインターネットに頼るようになってきたことに起因しています。現代の情報化社会の中で企業の扱う情報が紙ベースからIT化し、そうした情報を扱う上でのインシデント発生リスクの高まりと、それを狙うサイバー犯罪の増加が起こったのです。企業が、その情報を狙うサイバー犯罪の被害にひとたび遭えば、金銭的な損失のうえ企業イメージに大きなダメージまで受けてしまいます。さらにそうしたサイバー犯罪は年々手口が巧妙になっており、攻撃対象も大企業だけでなく中小企業や個人にまで広がってきています。セキュリティ問題はもはや企業全体の問題となり、複雑化したインシデント対応は情シスの片手間でカバーすることが難しくなりました。
こうして各企業・組織は、独立した専門的なセキュリティ対応チームを設置するようになったのです。
SOC?CERT?CSO?関連用語を整理しよう
キュリティ対応専門職はCSIRT以外にもいくつも存在します。似たような言葉を整理してみましょう。
・SOC(Security Operation Center)
情報セキュリティ監視センター。監視センターでは24時間365日サイバー攻撃を監視し、ネットワーク通信のログ監視などによる攻撃検出と、パターン解析などによる分析を行います。情報システムまたは拠点の物理的な監視を行うこともあります。監視と検出に特化したチーム(拠点)で、企業はシステムの運用と監視をセットで外注するケースも多いです。
・CSO(Chief Security Officer)/CISO(Chief Information Security Officer)
企業のセキュリティ最高責任者。CSIRTの統括を行うトップの役職。経営層とインシデント対応をつなぐ役割を持ちます。
・CERT(Computer Emergency Response Team)
こちらはCSIRTと同義語です。JPCERT/CCは、こちらの「CERT」という名称を使用しています。
・PSIRT(Product Security Incident Response Team)
企業内の情報システムのインシデントではなく、企業が提供する製品(プロダクト)に関するインシデントに対応する専門チームのこと。IoT化により企業の提供製品にシステムが組み込まれ、製品そのものに対しサイバー犯罪のリスクが増していることを背景に注目されるようになった職種です。
こうしたセキュリティ専門職は個々に活動するわけではありません。これらが相互に連携して、組織のセキュリティを守っているのです。
CSIRTの業務内容
では、CSIRTの実際の業務内容とはどのようなものでしょうか。具体的に見ていきましょう。
インシデントとは
業務内容に入る前に、CSIRTが対応すべき「インシデント」とは何かを整理しましょう。
そもそもインシデントとは「事件」という意味の英単語ですが、JPCERT/CCでは以下のように定義しています。
“情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象”
こう定義されているセキュリティインシデントは大きく分けると、サイバー攻撃(人為的)か事故(偶発的)かに分けることができます。もう少し細分化して考えると、以下のようになります。
CSIRTは、このすべてに対応します。サイバー犯罪でなく従業員の不注意による情報流出であっても、企業活動への影響やインシデント対応は変わりません。
定常業務と非常時業務
インシデント対応専門といっても、インシデントの起きていない平常時に仕事をしていないわけではありません。ただ組織によっては、定常時はバラバラの部署にいてインシデント対応時にのみ集合するという形のCSIRTもあります。CSIRTとは、実際にはその組織により業務範囲やインシデント対応する対象範囲などが異なり、実態は一つではありません。そのためここでは、一般的なCSIRTの業務とされる内容について紹介します。
平常時は、社内のセキュリティ施策を行います。システムへの対応のアドバイスや、従業員へのセキュリティ啓発活動なども行います。そして、他企業・団体との脆弱性などに関する情報共有を行ったり、インシデント事例の分析を行うなど、セキュリティ事故を効果的に予防するための業務を行います。
インシデントが発生した際には、実際の対処、対応状況の管理、社外への情報発信などの事故対応業務を行います。おおよそインシデント対応は以下の流れとなります。
- SOCなどからインシデント発生の連絡を受け、経営層・関係部署やベンダーなど必要な場所への連絡をしてインシデント管理体制を整えます。
- 事象の分析を行い、インシデントの特定、該当インシデントの重大さを判定し優先度設定を行います。(トリアージ)
- 実際の対応を行います。情シスやベンダーと連携して技術対処を行うことはもちろん、業務またはシステムの一時停止などの社内調整、社外への発表について広報部署と連携して調整するなどの対外調整も行います。
- 対処が終わったら通常業務に戻すためのシステム復旧を行います。
- 対応状況やインシデント事例の情報から、次に同じ被害に遭わないよう対策を行います。また、これらの情報は、他組織との情報共有のための事例資料として整理し、管理します。
インシデント対応チームというと技術的対処がメインの業務かと思いがちですが、CSIRTの大きな役割が「連携・調整の窓口」です。インシデントの情報を社外・社内の組織と共有することで、事象の把握や事故対応がしやすくなり、被害の損失を抑えることにつながります。また、インシデントは時として企業活動をも左右する事態になりかねないため、その対処においては経営的な判断との連携が欠かせません。グループ会社を通して共通のCSIRTを持つ企業が多いのも、そうした連携をしやすいためなのです。
これからのCSIRT
今、IoTやAIの台頭など、社会の情報化ますます加速しています。今後はサイバー空間と実空間がより融合していき、あらゆるところに情報システムが配備されることになるでしょう。それは、サイバー犯罪・インシデントのリスクも同時に高まるということにつながります。つまり、CSIRTはこれからより厳しい状況に置かれることになります。また、年々巧妙化し更新されていくサイバー犯罪に対抗する手段は、いかに最新の脆弱性情報やマルウェアの手口を把握しておくかという情報戦の様相も呈しています。世界各国のCSIRTと、PSIRTなどのセキュリティ専門職、そして一般従業員も含めて横のつながりを持ち、連携してそれらの脅威に立ち向かっていくことがこれまで以上に重要となるでしょう。
【執筆:編集Gp 星野 美緒】