CSIRTとは?SOCとPSIRTとの違いや必要な理由、具体的にやるべきことを解説
セキュリティ対策が重要視される今の時代、CSIRTと呼ばれる組織が重要視されています。CSIRTは「Computer Security Incident Response Team」の頭文字を取ったもので、情報セキュリティに関するインシデント、つまり問題や課題を解決するための組織です。今回は、CSIRTの概要や必要とされる理由を解説します。
CSIRTとは?
CSIRTは、セキュリティインシデントへ素早く対処するために設けられる、専門の組織やチームを指します。セキュリティインシデントの内容は幅広く、外部からの攻撃や脆弱性の発見、内部不正による情報漏洩などです。セキュリティ上、問題と考えられることは、すべてセキュリティインシデントであると考えましょう。
CSIRTの重要な役割は、セキュリティインシデントが発生してからのセキュリティマネジメント業務です。一般的に、セキュリティインシデントは発生しないような取り組みが重視されますが、CSIRTでは発生してからの対応を重視しています。万が一に備えてCSIRTのような組織を設けていないと、有事の際に素早く行動できないためです。
ただし、組織の考え方によっては、CSIRTがセキュリティ対策などを管轄することもあります。基本的には、インシデントが発生してからの対応ですが、必ずしもそれだけとは言い切れません。
CSIRTとSOCの違い
CSIRTと比較されやすい組織として「SOC(Security Operations Center)」があります。こちらは、ネットワークやシステムの通信などを24時間365日体制で監視して、セキュリティインシデントの検知をおこなう組織です。また、何かしらのセキュリティインシデントが検知された場合は、その内容を分析する作業も担います。
どちらもセキュリティインシデントを管轄する組織ですが、CSIRTはセキュリティインシデントが検知された後に活躍することに対して、SOCはセキュリティインシデントの検知で活躍します。SOCがセキュリティインシデントを検知できることで、いち早くCSIRTが行動できるため、別の組織ではありますが深く関わっているといえるでしょう。
CSIRTとPSIRTとの違い
同じくCSIRTと比較されやすい組織として「PSIRT(Product Security Incident Response Team)」があります。こちらは、自社が開発した製品や提供するサービスにおけるセキュリティインシデントを専門的に扱う組織です。脆弱性や外部からの攻撃などセキュリティインシデントの検知から、実際に対処するところまで担当します。
PSIRTは、検知からプログラムなどの修正まで対応するため、その点でCSIRTとは大きく異なる組織です。また、CSIRTと比較すると管轄する部分も狭く、その点でも違いがあると考えましょう。
CSIRTが注目されている理由
CSIRTが注目されるようになった背景には、サイバー攻撃の増加が挙げられます。特に、以前ほど大企業だけが攻撃されるような傾向はなくなり、どの企業でも攻撃の対象となりえる状況です。そのような状況下で、セキュリティインシデントに対応できる体制が整っていないことは望ましくなく、CSIRTという組織が注目されるようになりました。
また、CSIRTという組織を設けておくことで、社内外からセキュリティインシデントについて、問い合わせしやすくなります。例えば、何かしら攻撃されている気配を感じても、今までは連絡先が不明であったかもしれません。それがCSIRTを設定することで明確になるなどです。
他にも、CSIRTを設置することで、他社のCSIRTと連携を取りやすくなります。セキュリティインシデントは、互いに共有したり対処を活かしたりすることがあるため、そのような輪に入れることを重視して設置されることもあります。
CSIRTが対応する主な3つの業務
CSIRTが対応する業務は、大きく分けて下記の3つが存在しています。
- インシデント事後対応
- インシデント事前対応
- セキュリティ向上
詳細をご説明いたします。
インシデント事後対応
セキュリティインシデントが発生した場合、事後対応はCSIRTが中心となり対応します。問い合わせの窓口となり状況を正確に把握し、さらなる調査を指示したり対応を仰いだりします。セキュリティインシデントを放置すると、大きな被害になりかねないため、最小限に抑えるための道筋を描かなければなりません。
インシデントの「窓口」といえば社内向けのイメージがあるかもしれませんが、CSIRTは外部向けの窓口も必要です。例えば、他社のシステムがマルウェアに感染し、その影響についてCSIRTへと連絡してくる可能性があります。専用のメールアドレスや電話番号を用意し、いち早く事後対応に着手することが重要です。
また、インシデントの内容によってはCSIRTだけで解決できない可能性があります。この場合は、他のCSIRTやセキュリティベンダーの担当者などに協力を仰がなければなりません。このような調整や危機管理は「情報セキュリティマネジメント」と呼ばれる作業であり、CSIRTが率先して担うべき役割です。
インシデント事前対応
セキュリティインシデントを事前に防いだり、万が一発生した際に備えたりしておく業務です。例えば、インシデントが発生した際の対応方法について検討しておきます。また、インシデントが発生していないかシステムを監視したりインシデントを検知したりする作業もCSIRTが担うべきです。
また、CSIRTはインシデント対応や外部組織との連携によって、セキュリティについて多くの知見を持っていると考えられます。そのため、これらを活用してインシデントが発生しないように対策したり、組織のあり方を修正したりすることも必要でしょう。
セキュリティ向上
社内全体でセキュリティ向上を図るために、支援を担当することがあります。例えば、他社のCSIRTから得た情報を社内で共有し、同様のセキュリティインシデントが発生しないようにするなどです。CSIRTには、多くのナレッジが蓄積されるため、それらを活かしてセキュリティの向上へとつなげていきます。
ただし、CSIRT以外にもセキュリティに関する部署が存在する場合、それらがセキュリティインシデントの撲滅に向けた活動を担うかもしれません。また、情報システム部門などが、これらの教育を一貫して実施することもあります。その場合、CSIRTは情報を提供する立場となり、実際に啓発活動などを実施する組織ではなくなります。
自社にCSIRTを導入する際のポイント
自社にCSIRTを導入したいと考えるならば、以下のポイントを踏まえることが大切です。
- 経営陣を含めてセキュリティ意識を持つ
- CSIRTの役割や業務を明確にする
- 活動範囲を決定する
- 公的機関など外部と連携できるようにする
それぞれの内容を解説いたします。
経営陣を含めてセキュリティ意識を持つ
CSIRTは社内の組織であるため、経営陣を含めてセキュリティ対策の重要性を認識することが重要です。中長期的にはまとまった金額の投資が必要となるため、どのような効果が生まれ、導入しなければどのようなリスクがあるのか理解してもらいましょう。
また、セキュリティの重要性を意識してもらう際は、現状の課題やCSIRTがそれをどのように解決するのか示すようにします。具体的に提示することで、経営陣はセキュリティ意識を持ちやすくなり、全社的にCSIRTを運用できるようになるでしょう。もちろん、セキュリティ意識の理解だけではなく、CSIRTについて詳しく理解してもらうことも重要です。
CSIRTの役割や業務を明確にする
会社によってCSIRTの役割や業務は少々異なっています。そのため、自社の状況を鑑みて、どのような役割を担ってもらうか明確にする作業が重要です。特に、社内のIT部門にセキュリティに関するチームが存在するならば、業務が重複しないように考えなければなりません。
ただし、CSIRTに業務が集中してしまうと、迅速に対応できなくなるなどの問題を引き起こします。セキュリティの問題は早急に対応することが求められ、迅速さに欠けると、存在意義が薄れかねません。具体的に役割や業務内容を決定し、それらについては優先的に対応できる環境作りが必要です。
活動範囲を決定する
解説してきたとおり、CSIRTの活動範囲は所属する企業などによって大きく異なります。そのため、CSIRTの運営を成功させるためには、活動範囲を明確に決定することが重要です。
例えば、CSIRTはインシデント事後対応だけとする企業もあれば、インシデント事前対応も求める企業があります。また、セキュリティ製品を活用するサポートなど、情報システム部門のような仕事も任せる企業もあるでしょう。これは企業の考え方によるため、一概に良いとも悪いとも言い切れません。
ただし、活動範囲を明確にしていないと「自分たちの仕事ではない」と押し付け合う状況が発生してしまいます。これではCSIRTの存在価値が薄れてしまうため、セキュリティインシデントの専門組織として、何を確実にこなしてほしいかは明確にすべきです。
公的機関など外部と連携できるようにする
外部組織との連携がなければ、CSIRTの意味合いが薄れてしまいます。セキュリティインシデントの情報共有や対処の協力など、いくつもの観点から外部との連携が必要だと考えましょう。
連携対象は、業界団体やセキュリティベンダー、他社が設置するCSIRTなどが考えられます。セキュリティインシデントの情報やリスクヘッジの手法などを発信している組織と積極的にコミュニケーションをとりましょう。また、何かしら共有したいことがあるならば、自らも発信していくことが大切です。
CSIRTを導入するメリット
CSIRTを導入するメリットを改めてまとめると、以下の4つです。
- セキュリティインシデントの問い合わせ先が明確になる
- 他社のCSIRTなど外部と連携しやすくなる
- セキュリティインシデントが発生した際に素早く行動を起こせる
- 専門家としてセキュリティの高い知識を有している
所属する企業によっては、さらに多くのメリットを生み出すことがあるでしょう。最低限、これらのメリットを認識しておくと、CSIRTの重要さも理解できるはずです。
CSIRTの一環としてのセキュリティ対策ならPCホスピタルにお任せください
セキュリティインシデントが発生した際に対応する組織であるCSIRTを解説しました。今まで、セキュリティインシデントは防ぐことに重きを置いていましたが、今では発生した後の素早い行動に重きを置いています。
どのような企業でも攻撃を受ける可能性があり、万が一に備えることが重要です。ただし、CSIRTがセキュリティインシデントを処理するためには、攻撃などを検知する作業が求められます。PCホスピタルは、各種セキュリティソリューションを活用して、外部からの攻撃などを検知する仕組みの構築が可能です。CSIRTの発足にあわせて、セキュリティソリューションを導入したいならばPCホスピタルにご相談ください。
濱﨑 慎一(日本PCサービス株式会社 常務取締役 兼 NPO法人 IT整備士協会 理事)
2010年8月、日本PCサービス株式会社に入社。パソコン修理などデジタルトラブルを5年で4500件以上解決。その後、サポート人材育成など、事業責任者として、個人向けデジタルトラブル解決に8年半携わる。2019年より同社にて、法人向けサポートの取締役に就任。また特定非営利活動法人 IT整備士協会の理事として業界活性化のため正しいデジタル知識の普及、スマートフォンなどの新しい整備士資格の構築に携わる。
保有資格 パソコン整備士検定 取得