コラム

2023.04.23

CSIRTとは?
サイバー攻撃に備えた組織作り!SOCとの違いも解説

CSIRTとは?サイバー攻撃に備えた組織作り!SOCとの違いも解説

はじめに

近年、サイバー攻撃の手法が多様化し、巧妙化した攻撃が増加し続けています。そのような状況下で完璧なセキュリティ防御策を講じることは非常に難しくなってきています。万が一のサイバー攻撃に備え、セキュリティインシデントに関する専門組織であるCSIRTを設置することで被害を最小限に抑えることが可能です。本記事では、セキュリティインシデントが発生した際に活躍するCSIRTについて解説します。

CSIRTとは

CSIRTとは英語のComputer Security Incident Response Teamの頭文字を取った略語で、コンピュータセキュリティインシデント対応チームのことです。読み方は「シーサート」ですが、「シーエスアイアールティ」と読む場合もあります。セキュリティインシデントが起こることを前提として幅広く対応する組織、またはチームで、セキュリティインシデント発生前、発生中、発生後のどの段階でもサイバー攻撃に備え、対応するという役割があります。CSIRTに決まった規格はなく、企業や組織それぞれに合った体制で構成することが通常です。

CSIRTの必要性・体制を構築する利点

冒頭で述べたように、近年、サイバー攻撃の手法が多様化し、巧妙化した攻撃が増加し続けています。なかでも企業を狙ったサイバー攻撃は深刻化しつつあり、企業がセキュリティ対策を講じるだけでは防ぐことが非常に難しくなりました。セキュリティインシデントの対応が適切でなかった場合、システムの停止や情報漏洩など被害が甚大になるケースも少なくありません。このような状況下で、企業には、セキュリティインシデントが起こることを前提として、包括的に対応策を講じるCSIRT体制の構築が必要となりました。
CSIRT体制を構築し、適正に運用していれば、万が一セキュリティインシデントが起こった際に、スムーズな対応ができ、解決までの時間も短縮することができます。また、再発防止にも役立てることができ、再発した際も迅速に対応することが可能になります。

CSIRTの歴史 セキュリティ強化のために広まった背景

では、CSIRTはどのようにして生まれ、広まったのでしょうか。1988年、米国でモリスワームというマルウェアが甚大な被害をもたらしたことをきっかけに、インシデント対応や情報共有などが重要視されるようになりました。そして米国国防総省⾼等研究計画局 (DARPA:Defense Advanced Research Projects Agency)が中心となってCERT(Computer Emergency Response Team)/CC(Coordination Center)を設立したのが、世界で最初のCSIRTとなります。その後、各国でCSIRTが設立され始め、1990年にはCSIRTの相互連携を目的としたFIRST(Forum of Incident Response Security Teams)が設立されました。日本初のCSIRTは1996年に設立されたJPCERT/CC(Japan Computer Emergency Response Team/Coordination Center)です。その後、2007年3月に日本のCSIRTの連合体として日本シーサート協議会(Nippon CSIRT Association)が発足しました。

日本国内におけるCSIRTの設置状況

歴史的にみても、日本のCSIRTの設置状況は後れを取っています。2020年12月に総務省が発表した「我が国のサイバーセキュリティ人材の現状について」によると、従業員1000人以上の企業の40%がCSIRTを設置していますが、全体ではわずか16.5%となっています。それだけではなく、55.2%の企業でCISO、CSIRT、SOCのようなサイバー攻撃に対する体制が整っていないことがわかります。

▼設置されているサイバーセキュリティ体制

出典:「我が国のサイバーセキュリティ人材の現状について」(平成30年12月)(総務省)、5頁

SOCとの違い

セキュリティインシデントに関連する組織としてはSOC(Security Operation Center)がありますが、その役割は異なるものです。基本的にCSIRTではインシデントの対応に重点を置いているのに対し、SOCはインシデントの検知に重点を置いている点が大きな違いです。SOCは24時間365日体制でネットワーク、サーバなどのあらゆるシステムを監視し、サイバー攻撃やその予兆の検出や分析を行います。しかし、SOC、CSIRTのそれぞれの業務範囲は企業によって役割分担が異なることもあり、一概にどの業務をどちらが担当するのかという決まりのようなものはないともいえます。
SOCに関する解説はこちらSOCを強化し、サイバー攻撃に備えた組織作りを!をお読みください。

CSIRTの役割と業務内容

本記事の冒頭でも解説したように、CSIRTはセキュリティインシデントが起こることを前提として幅広く対応する組織、またはチームで形成され、セキュリティインシデント発生前は発生させないための対策、発生中は被害を最小限に抑えるための対応、発生後は再発防止に向けた対策などが主な役割です。そのために、対策や対応だけではなく、従業員に対しての社内教育や情報共有、社外組織との連携などを行い、セキュリティインシデントに対しての対応能力を高めることが重要です。

インシデント発生前の主な業務

CSIRTがインシデント発生前、つまり平常時に行う業務は、インシデントが発生した際、被害を拡大させないために非常に重要です。主なものとしては、セキュリティシステム・製品・サービスなどに関する業務、セキュリティに関する規定の策定、社内外との情報の連携、インシデントや脆弱性などの情報収集などがあり、インシデントの予防や発生したときの被害抑制のために努めます。

インシデント発生以降の主な業務

CSIRTがインシデント発生以降に行う業務は起こったインシデントの状況把握から始まり、収束までのあらゆる対応、再発防止に向けた対策まで多岐に渡ります。例えば、原因分析を行ったり、経営層や関係部門、警察など社内外へ報告を行ったりします。もちろん、インシデント解決や復旧のための対応策の策定なども行い、被害の最小化、早期復旧のためにあらゆる策を講じます。収束後は、再発防止や原因究明のために起こったインシデントの調査・分析を行い、組織にフィードバックなどを行います。

セキュリティ品質向上業務

インシデントの発生前・発生後に関わらず重要な業務として、セキュリティ品質向上業務があります。社内で導入しているシステムや製品の評価・認定を行い、企業に潜むリスクを分析します。また、災害復旧計画の作成や改変を行うなど、インシデントの発生に備えたり、社員教育やトレーニング、啓発活動により社員のセキュリティ意識を高めたりして、企業全体のセキュリティ品質を向上させます。

CSIRTの構築・運用の課題

近年CSIRTが注目されつつあり、自社でCSIRTを構築する企業も増えつつあります。本章ではCSIRTを構築し、運用していくうえでよくある課題をみてみましょう。

人員・スキル不足

CSIRTの人員として必要なスキルはセキュリティに関する知識だけではありません。担当する業務内容によってセキュリティに関する知識レベルも異なるうえに、コミュニケーションスキル、法律に関する知識、システム運用知識、セキュリティインシデント対応能力など様々なスキルが求められます。そのため、CSIRTの人員の確保に苦戦する企業が多いのが現状です。また、専任のCSIRT人員が確保できず、兼任の状態で構成する企業もありますが、実際には有効に運用できていない場合があります。

スキルのアップデート

CSIRTはただ構築すれば終わりというわけではなく、運用することで正常な機能を果たすことができます。サイバー攻撃は常に高度化し、最新の攻撃に備えるためにはスキルを常にアップデートする必要があります。また、それぞれの担当分野の知識もアップデートしていかなければなりません。

外部との情報共有

自社のインシデント情報を外部に共有したくないと考える経営層も少なくないようですが、CSIRTをうまく機能させるためには、それによって得るものが多いということを理解し、適切に情報共有することが重要です。そのため、外部組織や同業他社のCSIRTなどとの情報共有が非常に有効とされています。外部からの情報を取り入れることで、自社だけでは得られない情報収集が可能です。また、自社のインシデント情報を外部に提供し、お互いの情報を得ることで、外部組織のインシデントに役立ったり、自社のインシデントに役立ったりすることもあります。得た情報を積極的に活用することで、CSIRTは有効に機能させることができます。

CSIRTの構築

上記のような課題がある中、どのようにしてCSIRTを構築すればいいのでしょうか。まずは経営層のCSIRTについての正しい理解と承認を得ることが必要不可欠です。そして構築するCSIRTの活動や権限の範囲、連絡窓口などの基本的な事項を明確にします。確保できる人材や予算に合わせて活動範囲をなるべく最小限に抑え、スモールスタートから構築すると、徐々に自社に必要なことが見え、無駄なく自社に合ったCSIRTを構築することができます。また、自社で賄うことが困難な部分は外部の専門家に相談したり、アウトソーシングするという手段もあります。

まとめ

本記事では、セキュリティインシデントに対応するCSIRTの必要性、業務内容、課題について解説しました。CSIRTを構築するには社内外との連携が必要なため、経営層や上層部の理解が不可欠です。自社で十分なリソースを確保することが難しい場合、外部のインシデント対応チームや専門家の力を借りるという手段もあります。
CSIRTの必要性を経営層に伝えたい、CSIRTの構築などについてセキュリティの専門家に相談したいなど、自社のセキュリティ課題を解決したいとお考えであれば、是非セラクにご相談ください。

あわせて読みたい記事

  • Salesforce コンサル派遣なら選ばれるセラクCCC
  • クラウド導入・運用はプロにお任せ!
  • 統合人事システム COMPANY支援
  • 法人・活用サポートまで充実NewtonX