CSIRT(シーサート)という言葉を聞く機会が、ここ数年増えたのではないでしょうか?
本記事ではCSIRTとはいったい何か、セキュリティ事故への対応力をどのように向上させれば良いのか紹介します。
CSIRT(シーサート)とは?
最近では、セキュリティ事故対応のための体制としてCSIRTを設置する企業や組織が徐々に増えています。CSIRTとは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。単語の並びからも分かる通り、「コンピュータに関するセキュリティ事故の対応チーム」と訳すことができます。
金融業界や大手企業に限らず、今や業界や企業規模を問わずセキュリティ対策が重要視されています。インターネットで大抵のものが購入できる時代であり、裏を返せば犯罪者グループからクレジットカード情報や個人情報を狙われやすい環境にあると言えます。脆弱性対応が不十分なWebサイトでは、その脆弱性を狙った攻撃や、サイトの情報を改ざんするなど様々なサイバー攻撃の危険に晒されていると言えるでしょう。
セキュリティ事故が発生するとサービス継続・復旧や法的な対応に追われるなど人的コストは計り知れませんし、賠償や企業イメージの低下などを考えるとセキュリティ対策は避けられません。そして、サイバー攻撃の手法は日々進化し、新しい対策をしてもすぐに対応し切れなくなっているのが現状なのです。
従って、事故が発生する前提で体制を作ることが求められるようになり、CSIRTが注目されるようになりました。
次世代セキュリティ組織であるPSIRT、FSIRT、DSIRTとは?|CSIRTとの違いも解説
CSIRTが必要な理由
脅威と対策は「イタチごっこ」
サイバー攻撃が日々進化し続ける中、企業側もその対策を強化しますが、攻撃する側はさらに上手を行こうと変化を重ね、別の新しいやり方で攻撃してきているのが現実です。どうすればセキュリティ対策は万全だと言えるでしょうか?
例えば、従来のバラマキ型のウィルスメールに対する対策を万全にしていたとしても、非常に高度化した標的型攻撃が近年増加しています。
標的型攻撃の手法としてよく用いられるメール攻撃は、以前は不自然な日本語のものが多く比較的容易に見分けることができました。しかし、昨今のメール攻撃の内容は実在の企業名を騙ったり、業務で使う専門用語が書かれていたりと巧妙にできていて、見分けるのが難しくなっています。
図1. 標的型メール攻撃のメール例(NRIセキュア作成)
従業員向けに標的型メールを開かない・記載されたURLをクリックしないための模擬訓練を実施するという対策もありますが、それでも開封率をゼロにすることはいくら訓練を繰り返しても難しいです。
リスクとセキュリティ投資の関係性を考える
このように従来のセキュリティ対策だけでは対応できない脅威も増えているため、脅威と対策は「イタチごっこ」の状況だと言えるでしょう。
もし、完璧なセキュリティ対策を求めるとしたら、多額のコストが掛かってしまいます。しかも、リスク発生の可能性をゼロにすることは不可能です。セキュリティ対策を実行してある程度までリスクを低減したら、セキュリティ事故が発生する前提で事故発生時に迅速に対応可能な体制を構築する方が効果的です。ここにCSIRTが求められる理由が存在するのです。
図2. リスク発生の可能性とセキュリティ投資額の関係
それでは、日本企業、とりわけグローバル企業においてCSIRTの設置はどのように進めれば最適なのでしょうか?いざCSIRTを設置しようと思っても、何から手を付けたら良いのかわからないという方も多いのではないでしょうか。
CSIRTの役割と設置までのステップとは?
インシデント対応は消防と似ている
セキュリティ事故への対応はよく、消防に例えられることがあります。
セキュリティに何らかの問題が発生した際に行う「消火活動」(=事後対応)の側面と、平時から外部との交流を持ち、情報収集や啓蒙活動などを行う「防火活動」(=事前対応)という両方の側面が必要です。
「うちは予防や対策が万全だから大丈夫。インシデントは発生しない」という前提は非常に危険で、やはり「事故はいつか起きる」という前提の下、社内組織における横の連携、あるいは社外チームと連携し、社内外のステークホルダーを含めたCSIRTを構築することが重要でしょう。
グローバル企業であれば、日本国内の本社や支社だけでなく、海外にも多くの拠点があるでしょうから、各拠点が情報や問題を共有し、企業全体でセキュリティ事故対応能力を向上させるというイメージが良いでしょう。
もしセキュリティ事故が発生したら、社内での調整を行い、初期の事態収束化を行います。横の連携を図り、どこに事態報告すれば良いのか、技術的にどのような支援を受ければ良いのか、被害拡大防止のために何をすればよいかなど、迅速に状況判断をしなければなりません。これらはとても一人のスペシャリストでは対応できませんので、社内の連携が必須となります。
そこで、CSIRTは専任のセキュリティ担当者だけで結成するのではなく、まずは兼任のメンバーで構成することから始めてみると良いでしょう。
事故が起きなくても予防の観点から、情報収集や啓蒙活動を平時の活動として実施します。
CSIRTはこれがベストという型がある訳ではありません。100社あれば100通りのCSIRTができます。組織体制や企業風土、業界独自の事業形態やリスクが異なるはずで、やはりその企業にしか分からない部分があります。
また、セキュリティ事故が発生した場合、迅速な経営判断を迫られることが十分考えられるので、CSIRTは経営層と十分に連携して、「ジャッジする機能」を自社で持つスキームにすることが重要です。セキュリティベンダーなどへ委託する場合でも、自社でジャッジできる機能は必要です。
図3. CSIRT機能の例(NRIセキュア「組織内CSIRT総合支援」サービスページより引用)
「名ばかりCSIRT」にならないために
世間では「名ばかりCSIRT」と言われるものが非常に多いのも事実ですが、それを恐れるあまり設置に消極的になるのではなく、最初はうまく機能しなくても少しずつステップアップすれば良いという柔軟な考えでスタートする方が賢明でしょう。また、社内外の連携を取り、CSIRTを構築した後も常に最新の情報を共有すること、チームで活動内容を検討することなどアップデートを意識することが大切です。
アップデートを行うにあたっては、現行の課題を洗い出すことが重要となるためサイバー演習を行うこともオススメです。想定されるサイバー攻撃に対して、CSIRTが動けるかを確認することで、今後解決すべき課題も見えてくるでしょう。
サイバーも「防災訓練」の時代へ!企業が実施すべき演習のやり方
NRIセキュアの組織内CSIRT総合支援サービス
NRIセキュアでは技術と経験・ノウハウに裏打ちされた情報セキュリティ専門家が、CSIRTの構築・運用・評価をワンストップでサポート可能な、総合支援サービスとして、『CSIRT構築支援』『CSIRT運用支援』『CSIRT評価支援』の3つの支援サービスを提供しています。
図4. NRIセキュアが提供するCSIRT総合支援サービスの概要
サービスの詳しい内容については、下記のサイトを参照ください。
まとめ
- 企業は多くのセキュリティ脅威に晒されている
- セキュリティ事故が発生すると、人的コストや企業の受けるマイナスイメージは大きい
- セキュリティ脅威は経営に深刻な影響を与える可能性があるため、対策に積極的にならざるを得ない企業が多い
- セキュリティ対策は終わりのない“イタチごっこ”の側面もあり、これをやれば完全というものがない
- CSIRTは消防団に例えられることがあり、防火活動と消火活動の両方が必要である
- 予防が万全だからセキュリティ事故は発生しないという前提は危険
- 事故はいつか起きるという前提で社内外のメンバーを巻き込んで事故対応体制を構築することが必要
- これがベストというCSIRTの型はなく、100社あれば100通りのCSIRTがある
- 最初から完全なものを求めず、ステップアップ、アップデートしていく意識が大切
