CSIRT(シーサート)とは? SOCとの違いや設置の流れを解説
サイバー攻撃や情報漏洩などの被害を抑えるために、インシデント対応の専門組織であるCSIRT(Computer Security Incident Response Team)を設置する企業が増えています。サイバー攻撃の多様化をはじめとした日々進化する情報セキュリティの脅威に対応し、インシデント発生後の被害を最小限に抑えるために、CSIRTの必要性を感じている企業も少なくないのではないでしょうか。
本記事では、CSIRTの基礎知識や似た組織との違い、その業務内容のほか、設置の流れなどを解説します。設置を検討する際の参考にしてください。
CSIRT(シーサート)とは、社内の情報セキュリティのインシデントに対応するための組織
CSIRTとは、社内の情報セキュリティのインシデントに対応するための組織のことです。一般的には、「シーサート」と読まれています。
CSIRTは、企業などが保有するパソコンやシステムで不正アクセス、情報漏洩、マルウェア感染といったセキュリティ上のインシデントが生じた際に、いち早く発生を検知し、状況に応じた対応を行います。
CSIRTと似た組織との違い
CSIRTと似た組織として挙げられる代表例が、SOC(Security Operation Center)とPSIRT(Product Security Incident Response Team)です。CSIRTとは、それぞれ下記のような点が異なります。
SOCとの違い
CSIRTとSOCは、どちらもインシデントに対応するための組織ですが、主眼を置いている担当業務の範囲が異なります。
SOCは、インシデントの検知や分析を行うことを主な任務とする組織です。検知・分析に特化した組織であるため、基本的には24時間365日体制で業務を行い、インシデントの発生前から発生直後の検知・分析までを担当します。
一方CSIRTは、インシデント発生後の被害拡大の防止や、インシデントの根本解決に向けた対応が主な業務範囲です。
- 併せて読みたい
PSIRTとの違い
CSIRTとPSIRTは、対応するインシデントの範囲が異なります。
PSIRTは、CSIRTと同じくインシデント発生時の対応を行いますが、対応するのは自社で開発・提供した製品やサービスにおけるインシデントです。つまりPSIRTは、所属する組織ではなく、外部に提供する製品やサービスの保護を目的とした組織だということです。
一方CSIRTは、所属する組織を守るために、組織内におけるインシデントに対応します。
CSIRTが必要な理由
セキュリティ対策の重要性が増している現代の企業にとっては、様々な理由からCSIRTは必要な組織だといえます。その代表的な理由は、下記の2点です。
セキュリティ上の脅威と対策がいたちごっこになっているため
セキュリティ上の脅威と対策がいたちごっこになっていることが、インシデントの発生を前提としたCSIRTが注目を集める理由となっています。
サイバー攻撃は日々進化しているため、セキュリティ上の脅威と対策は、対策が考案されてもより高度な手口が登場するといういたちごっこの状態です。脅威の種類も増加し続けているため、最新のセキュリティ対策を導入しても万全な対応ができるとは限りません。
巧妙化するあらゆる脅威に対策を講じることは難しいため、「インシデントは発生する」という前提で、事後対応に重きを置いた対策の必要性が高まっているのです。
専門組織でなければ十分な対応ができないため
社内の情報システム部門がセキュリティ対策も担うのは難しいという点が、CSIRTという専門組織の必要性を意識させる理由となっています。
情報システム部門が、社内の情報システム環境の整備という通常業務に加えてインシデント発生時の対応も行おうとすると、過剰な負担となることも少なくありません。結局、インシデントが発生した際はその対応に追われ、通常業務がおろそかになるような事態にもなりかねないのです。
また、部署や業務ごとに個別にシステム管理者や情報セキュリティ担当者を置いてセキュリティ対策を講じることも、セキュリティレベルにばらつきが生じる原因となります。
そこで有効なのが、マルウェア感染や情報漏洩などのインシデント発生を想定し、その検知や状況把握、被害拡大の防止のほか、社内外の関係者へのアナウンスなどを担当する専門組織のCSIRTを置くことです。CSIRTがあれば、インシデント発生時に的確な対応を行い、必要に応じて外部とも連携して事態を早期に収束させることが可能となります。
CSIRTが行う業務
CSIRTはインシデント発生後の対応に主眼を置いた組織ですが、その際に十分な対応を行うために、インシデント発生前にも様々な業務を行わなければなりません。インシデント発生前とインシデント発生後で、それぞれ下記のような業務を行います。
インシデント発生前の主な業務
インシデント発生前の主な業務としては、下記の4点が挙げられます。
- インシデント発生前の主な業務
-
- 脅威の情報を収集して分析する
- インシデント発生を防ぐための社内教育を行う
- インシデントが発生した場合はCSIRTへ連絡することを社内で周知する
- インシデント発生時の迅速な対応のため、SOCなどの社内組織や社外のCSIRTなどとの連携を強化する
インシデント発生時は経営陣の迅速な判断が求められるケースもあるため、CSIRTは日頃から、経営陣も含めた関係者に存在意義や業務内容について理解してもらえるよう活動することが必要です。さらに、他社のCSIRTなどとも連携し、情報セキュリティ上の脅威やインシデント対応に関する情報を共有できる環境を整えておかなければなりません。
インシデント発生後の主な業務
インシデント発生の連絡を受けたら、CSIRTは初動対応を行い事態の収束を目指します。強化しておいた社内外の組織との連携を活かして、事態の報告先や技術的協力の依頼先、被害拡大防止のための施策などに迅速に対応することが必要です。
また、経営陣によるリアルタイムな判断が必要となる場合もあるため、経営陣との連携力も求められます。外部のベンダーや専門組織の協力を仰ぐ場合も、任せきりではなく、最終的な判断はCSIRTが下さなければなりません。
CSIRTを設置する方法
CSIRTを設置する場合、下記の2通りの方法があります。
- CSIRTの設置方法
-
- 社内で専門部署を立ち上げる
- 社外の専門組織に委託する
CSIRTには情報セキュリティに関する専門知識が求められるため、社内での人材確保や専門部署の立ち上げが難しいのであれば、社外への委託を検討するのもお勧めです。ただし、その場合はコストがかかるため、予算も併せて検討することが必要です。
社内でのCSIRT設置から運用開始までの流れ
社内でCSIRTを設置してから運用を開始するまでの手順を紹介します。なお、詳しくは、日本シーサート協議会が「CSIRT スタータキット」という資料を公開しているので、参考にしてください。
1.プロジェクトの立ち上げ
最初のステップは、CSIRTの設置に向けたプロジェクトの立ち上げです。プロジェクトの立ち上げにあたっては、下記のポイントを明確にする必要があります。
- プロジェクト立ち上げ時に明確にすべきポイント
-
- 目標:CSIRTの構築により何を改善・解決したいのかを、プロジェクトを立ち上げるきっかけも踏まえて取り決める
- プロジェクトの構成メンバー:専門知識を持つ人材や、現場の意見を取り入れられる人材も含めて選出する
- スケジュール:CSIRTを設置する時期を決め、それまでに必要になる作業の期限を明確にする
- プロジェクトの運用ルール:プロジェクトを進める上でのルールやプロジェクト内の意思決定フローを決める
プロジェクトを立ち上げる際は、経営層への説明や合意の獲得、予算の確保なども必要です。
2.情報収集と課題の把握
プロジェクトを立ち上げたら、組織の現状を調査し、どのような課題を抱えており、どのような対策が必要なのかを把握します。また、CSIRTはどのようなインシデントに対応するのかも明確にしてください。収集すべき情報としては、下記の4点が挙げられます。
- 現状調査の際に収集すべき情報
-
- 守るべき情報資産
- 対応すべき情報セキュリティ上の脅威
- 既存のインシデント対応の体制
- 既存のセキュリティポリシーやセキュリティ関連文書
情報を収集したら、それを基に現状の問題点を洗い出し、CSIRTが対応するインシデントや行う業務、組織上の位置づけのほか、規模、コストなど、設置に向けた課題を検討してください。
3.CSIRTの設置
情報収集と課題の把握が完了したら、適切なインシデント対応を実現するために必要となる人材・設備を確保して、CSIRTを設置します。CSIRTの設置は、下記のような手順で行われるのが一般的です。
- 一般的なCSIRTの設置手順
-
- 経営陣(意思決定層)の承認とCSIRT構築のためのリソースを確保する
- 社内調整を行い、CSIRTが機能できる環境を整備する
- CSIRTの設置について社内外へ説明して理解を得る
- 必要に応じてCSIRTに配置するリソースの調達や従業員へのトレーニングを行う
- CSIRTの活動のための資料を作成する
CSIRTを設置するにあたり障害がある場合は、再度計画を見直して、組織にとって最適なCSIRTとなるように改善しましょう。
4.CSIRTの運用開始
CSIRTを設置したら、運用を開始します。
運用段階での最初の業務は、社内外にCSIRTの存在を周知することです。社内関係者に対しては、インシデント発生時の報告先として、CSIRTの連絡先を必ず周知してください。また、社外にCSIRTの設置をアピールする場合は、ニュースリリースの利用が効果的です。
周知を行ったら、インシデント発生時に的確に対応するために、情報セキュリティリスクの情報収集や社内教育などの事前対策を実施します。また、社外組織との連携体制を確立させ、情報セキュリティリスクを軽減するための環境を整えることも重要です。
CSIRTを設置して、セキュリティインシデントに備えよう
サイバー攻撃が日々巧妙化する今日は、セキュリティインシデントが発生した場合の対応を迅速に行うCSIRTの設置が求められます。本記事の内容も参考にしてCSIRTを設置し、万が一セキュリティインシデントが発生しても被害を最小限にとどめられる体制を構築しておきましょう。
また、CSIRTの設置と同時に、社内の情報資産を適切に管理するためのセキュリティ対策も必須です。
情報漏洩対策やIT資産管理を総合的に支援する「MaLion」シリーズでは、端末へのセキュリティポリシー設定、違反者の警告通知、印刷操作・外部デバイス接続・送受信メールの監視のほか、個人情報ファイル制御などの機能によって情報漏洩を未然に防ぐことができます。セキュリティ対策の強化に向けて新たなツールの導入をお考えの場合は、ぜひご検討ください。