CSIRTとは?日本の企業に求められるセキュリティ対策組織
サイバー上の脅威にはセキュリティツールの実装はもちろんですが、その前の情報戦や攻撃の際の組織的な対応が重要です。そのためのチームをCSIRT(シーサート: Computer Security Incident Response Team)といい、大手企業を中心に構築が進んでいます。しかし日本のCSIRTにはまだ課題が多いようです。現状と改善点について見てみましょう。
CSIRTとは
CSIRTとは、企業内でコンピューターセキュリティ上の事故や事件に対応する専門チームのことを指します。自社のインシデント(セキュリティ事故)に対応するだけでなく、社外の組織と連携して情報を共有する役割も担います。
日本シーサート協議会では、CSIRTを消防署や消防団に例えています。その役割には、「被害の最小化(消火活動)」「最善の方法をとる(技術や経験の蓄積)」「相談窓口(119番)」「検知と警戒(火の用心・発報)」「教育・啓発(防火)」があり、インシデントが発生してから動くのではなく、発生することを前提に事前対策を施すのです。なお、消防署は専任のスタッフがいる部署、消防団はいざというときに稼働する兼任スタッフの集まりを意味します。
企業の枠を超えた活動もポイントに
CSIRTには、「海外や国内の初期の事案情報の共有(早期警戒)」「ナレッジやノウハウの共有(勉強会・相互補完)」といったほかの企業と連携した活動も求められています。机上の計画から進まない実施プランも、複数社が集まれば互いに刺激となり、推進力が高まるでしょう。
日本のCSIRT活動の実態
独立行政法人 情報処理推進機構は、2016年10~11月に従業員300人以上の企業の情報システム/セキュリティ部門の責任者・担当者にアンケート調査を実施しました。
それによると、回答のあった国内企業755社のうち「CSIRTを設置している」と回答した企業は22.6%、「CSIRTという名称ではないが、インシデント対応を担当する組織がある」と回答した企業は44.2%と、合計66.8%の企業がインシデント対応組織を設置しています。しかし、アメリカの90.1%、欧州の78.0%に比べると、やや低い水準といえるでしょう。CSIRT等の有効性の全体評価でも、「期待したレベルを満たしている」と回答した企業が日本は18.4%なのに対し、アメリカは60.8%、欧州は45.4%と大きな差がみられます。
また、CISO(Chief Information Security Officer/最高情報セキュリティ責任者)等が設置されている企業では、CSIRTの設置率も高くなっています。CISOはセキュリティやリスクの分析評価、セキュリティ対策の立案と予算の確保、セキュリティの現場と経営層との橋渡しなどが主な役割となりますが、CSIRTの人員や予算の確保といった問題の解決を担うことも期待されます。
CSIRTの構築に向けて動き出すには
CSIRTは、専任の「消防署」ではなく、兼任スタッフが集まった「消防団」でも活動できます。消防団の役割は、消化活動そのものは消防署に任せつつ、火事の発見やその初期消火、住民への火の用心の日常の呼びかけや見回りをすることです。まずは、このような消防団の役割からCSIRTをスタートするといいかもしれません。
しかし、人材の確保という問題が浮上する可能性があります。そこで、各部署から代表者に参加してもらい、セキュリティ教育を実施して最新情報や注意事項を共有することが、「消防団」結成の近道となるでしょう。
CSIRTの活動は、新種の脅威の情報を把握し、チーム内で共有することから始まります。そして、万が一のときにはインシデントの特定と通報が大切です。外部のICT企業に任せるにしても、初期対応が遅れれば被害は拡大してしまいます。初期対応(通報と初期消火)で拡大(延焼)を抑えることができれば、そのあとのウイルス駆除(消火)と復旧(安全確保)も早期に完了できます。
CSIRTは、脅威に発展する危険性が高いインシデント情報を効率よく集め、そのリスクを検証してセキュリティ対策を立てる役割を担います。それには、他社のCSIRTと連携し、企業の枠を超えた情報の共有が欠かせません。例えば、日本シーサート協議会や情報処理推進機構の活動に参加することが、ネットワークを広げる第一歩となるでしょう。
CSIRTは構築後のアップデートが重要
CSIRTを設置しているのは大手企業が多いと思われますが、インシデントのリスクに企業規模は関係ありません。サイバー攻撃の脅威が増加している昨今、早急な対策が求められます。また、CSIRTを構築したあとも活動内容をあらためて検討し、常に最新の状況に合わせてアップデートすることが大切です。
