CSIRT（シーサート）とは？セキュリティ事故が起きる前提の組織体制

Creative work of business team CSIRTというフレーズを聞く機会がここ数年増えたのではないでしょうか？

金融業界や大手企業に限らず、今や業界や企業規模を問わずセキュリティ対策が重要視されています。インターネットで大抵のものが購入できる時代であり、裏を返せば犯罪者グループからクレジットカード情報や個人情報を狙われやすい環境にあると言えます。脆弱性対応が不十分なWebサイトでは、その脆弱性を狙った攻撃や、サイトの情報を改ざんするなど様々なサイバー攻撃の危険に晒されていると言えるでしょう。

セキュリティ事故が発生するとサービス継続・復旧や法的な対応に追われるなど人的コストは計り知れませんし、賠償や企業イメージの低下などを考えるとセキュリティ対策は避けられません。そして、サイバー攻撃の手法は日々進化し、新しい対策をしてもすぐに対応し切れなくなっているのが現状なのです。

従って、事故が発生する前提で体制を作ることが求められるようになり、CSIRTが注目されるようになりました。

本記事ではCSIRTとはいったい何か、セキュリティ事故への対応力をどのように向上させれば良いのか紹介します。

セキュリティ対策はなぜ必要なのか？セキュリティ事故による人的コスト、企業が受けるマイナスイメージは大きい

そもそも、セキュリティ対策がなぜ必要なのでしょうか？

ある人はセキュリティ対策をしなければサイバー攻撃の脅威に晒されるからと答えるでしょう。別の人は顧客情報などの個人情報や機密情報の漏えいを防ぐためと答え、他にもマルウェア感染を防ぐため、不正侵入を防ぐため、内部犯行による情報漏えいを未然に防ぐため、ネットワークに侵入され自社サイトの情報改ざんを防ぐためなど様々な理由や回答があるでしょう。

そのどれもが正解です。また、対策が必要な理由はひとつとは限りませんし、しかも単純ではありません。情報資産は多くの脅威に晒されているのです。
たった一度起きたセキュリティ事故で企業が深刻な被害を受ける恐れもあります。サービスの継続・復旧対応やクレームの処理、あるいは法的な対応に追われるなど人的なコストは計り知れません。巨額の賠償問題に発展することもあるでしょうし、何より企業が受けるマイナスイメージは決して小さくありません。それが原因で経営を圧迫する事態に陥ることも十分に考えられ、だからこそセキュリティ対策に積極的にならざるを得ない企業が多いのです。

Composite image of rear view of classy young businessman posing

CSIRTとは何か？セキュリティ対策は終わりのないイタチごっこである

それでは、どうすればセキュリティ対策は万全だと言えるでしょうか？

前述のように、サイバー攻撃を仕掛ける側のやり方も複雑で日々進化し続けています。もちろん、企業側もその対策を強化しますが、さらに上手を行こうと相手は変化を重ね、別の新しいやり方で攻撃してくるでしょう。

従来のバラマキ型のウィルスメールに対する対策を万全にしていたとしても、非常に高度化した標的型攻撃が近年増加しています。

例えば、標的型攻撃の手法としてよく用いられるメール攻撃ですが、以前は不自然な日本語のものが多く比較的容易に見分けることができました。しかし、昨今のメール攻撃の内容は実在の企業名を騙ったり、業務で使う専門用語が書かれていたりと巧妙にできていて、見分けるのが難しくなっています。

標的型メール攻撃の文面の例

図. 標的型メール攻撃のメール例（NRIセキュアが作成）

従業員向けに標的型メールを開かない・記載されたURLをクリックしないための模擬訓練を実施するという対策もありますが、それでも開封率をゼロにすることはいくら訓練を繰り返しても難しいです。

このように従来のセキュリティ対策だけでは対応できない脅威も増えているため、脅威と対策は「イタチごっこ」の状況だと言えるでしょう。

もし、完璧なセキュリティ対策を求めるとしたら、多額のコストが掛かってしまいます。しかも、リスク発生の可能性をゼロにすることは不可能です。セキュリティ対策を実行してある程度までリスクを低減したら、セキュリティ事故が発生する前提で事故発生時に迅速に対応可能な体制を構築する方が効果的です。

リスク発生の可能性とセキュリティ投資額の関係

図. リスク発生の可能性とセキュリティ投資額の関係

最近では、セキュリティ事故対応のための体制としてCSIRTを設置する企業や組織が徐々に増えています。CSIRTとは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。単語の並びからも分かる通り、「コンピュータに関するセキュリティ事故の対応チーム」と訳すことができます。

日本企業、とりわけグローバル企業においてCSIRTの設置はどのように進めれば最適なのでしょうか？ある程度までリスクを低減したら、インシデントが発生する前提で事故対応体制（CSIRT）を組成する方が効果的と説明しましたが、いざCSIRTを設置しようと思っても、何から手を付けたら良いのかわからないという方も多いでしょう。

CSIRTが果たす役割は消防団のようなもの。設置するには何からはじめれば良いのか？

セキュリティ事故への対応はよく、消防に例えられることがあります。

セキュリティに何らかの問題が発生した際に行う「消火活動」（＝事後対応）の側面と、平時から外部との交流を持ち、情報収集や啓蒙活動などを行う「防火活動」（＝事前対応）という両方の側面が必要です。

「うちは予防や対策が万全だから大丈夫。インシデントは発生しない」という前提は非常に危険で、やはり「事故はいつか起きる」という前提の下、社内組織における横の連携、あるいは社外チームと連携し、社内外のステークホルダーを含めたCSIRTを構築することが重要でしょう。グローバル企業であれば、日本国内の本社や支社だけでなく、海外にも多くの拠点があるでしょうから、各拠点が情報や問題を共有し、企業全体でセキュリティ事故対応能力を向上させるというイメージが良いでしょう。

企業がグローバルCSIRTを成功させるための秘訣
もしセキュリティ事故が発生したら、社内での調整を行い、初期の事態収束化を行います。横の連携を図り、どこに事態報告すれば良いのか、技術的にどのような支援を受ければ良いのか、被害拡大防止のために何をすればよいかなど、迅速に状況判断をしなければなりません。これらはとても一人のスペシャリストでは対応できませんので、社内の連携が必須となります。

そこで、CSIRTは専任のセキュリティ担当者だけで結成するのではなく、まずは兼任のメンバーで構成することから始めてみると良いでしょう。
事故が起きなくても予防の観点から、情報収集や啓蒙活動を平時の活動として実施します。

CSIRTはこれがベストという型がある訳ではありません。100社あれば100通りのCSIRTができます。組織体制や企業風土、業界独自の事業形態やリスクが異なるはずで、やはりその企業にしか分からない部分があります。また、セキュリティ事故が発生した場合、迅速な経営判断を迫られることが十分考えられるので、CSIRTは経営層と十分に連携して、「ジャッジする機能」を自社で持つスキームにすることが重要です。セキュリティベンダーなどへ委託する場合でも、自社でジャッジできる機能は必要です。

synthesis_csirt_fig2

図. CSIRT機能の例（NRIセキュア「組織内CSIRT総合支援」サービスページより引用）

世間では「名ばかりCSIRT」と言われるものが非常に多いのも事実ですが、それを恐れるあまり設置に消極的になるのではなく、最初はうまく機能しなくても少しずつステップアップすれば良いという柔軟な考えでスタートする方が賢明でしょう。また、社内外の連携を取り、CSIRTを構築した後も常に最新の情報を共有すること、チームで活動内容を検討することなどアップデートを意識することが大切です。

アップデートを行うにあたっては、現行の課題を洗い出すことが重要となるためサイバー演習を行うこともオススメです。想定されるサイバー攻撃に対して、CSIRTが動けるかを確認することで、今後解決すべき課題も見えてくるでしょう。

サイバーも「防災訓練」の時代へ！企業が実施すべき演習のやり方

businessman working with new modern computer show social network structure