layers consulting

CERT/CSIRT(サート/シーサート)

1.CERTとは

 CERT(Computer Emergency Response Team)は、インシデント(コンピューターやインターネットのセキュリティ)に関する研究や情報発信を行なっているアメリカの研究機関です。1988年に発生したワームの大規模感染事件を機に設立されました。現在様々な組織に設置されているCSIRTの大元的な存在とされています。

2.CSIRTとは

 CSIRT(Computer Security Incident Response Team)は、企業や行政機関等に設置されるインシデント(コンピューターシステムやネットワーク)に問題が発生した際に対応する組織です。
 インシデント(社内の情報システムや通信ネットワークでウイルス感染や不正アクセス等)が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定等の活動を行います。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報等の活動を行ったりすることもあります。

3.CSIRTへの期待と役割(機能)

 インターネット上の脅威が拡大し続けている今日、企業がインシデントゼロの状況を作り出すのは不可能です。そのため、インシデントが発生することを前提として、発生後の的確な対応が強く求められています。
 具体的には以下のような対応が求められています。
 

  • 社内CSIRTがインシデントへ直接対応する。(簡易的なインシデントの場合を想定)
  • 社内にCSIRTを設置し、インシデントが発生した際、技術的な支援や組織内全体の調整や統制等の活動を行います。取り急ぎの対応が終了次第、関連部署や専門部隊(場合によっては外部組織)に引き継ぎます。
  • インシデントへ直接対応せず、外部組織への調整役として機能します。

 
このように、CSIRTは、社内・社外問わず連携の中心(ハブ)となることが重要です。そのために、社内ではCSIRTの活動内容とセキュリティに関する啓蒙活動を行い、社外組織との信頼関係を築き、連携可能な体制を構築・維持する必要があります。
CSIRTの機能をまとめると以下のようになります。
 

  1. 監視(異常監視(アラート、ログ、他)、エスカレーションによる異常検知など)
  2. 特定(インシデントの特定)
  3. 防御(インシデントが発生しない状況への対応)
  4. 検知(インシデントの発見方法)
  5. 対策(インシデントに対しての対策検討)
  6. 連携(関連CSIRTやCERTへの報告、情報収集、確認、他)

4.どのようにCSIRTを導入、開始するか

CSIRTの開始には以下のような手順が必要です。
 

  1. 戦略企画:CSIRT組織、内外の連携先、対応スコープ、外部依存度、他
  2. 設計:戦略に基づくCSIRT組織、プロセス設計
  3. 構築:導入、設置
  4. 運用:試行運用から本運用へ
  5. 評価:定期的な点検、評価によるCSIRTの成熟度向上

5.まとめ

 インシデントはどの企業でも脅威になり得ます。そのため、CSIRTを導入することは重要です。その際、以下6つのポイントに留意するべきです。
 

  1. インシデントに対しては、高度な意思決定が必要ため、日常的に経営との連携を行います。
  2. 「守るべきモノ」を正確に理解・特定し、それを守ることに厳格に対応します。
  3. 外部の専門家を積極的に活用し、中長期的な内部人財の成長を目指します。
  4. 導入を目的とせず、運用開始後には演習や実践を繰り返し、組織全体のスキルの底上げと意識改革を目指します。
  5. プロセスは大枠のポイントに絞り、柔軟性の高い対応を目指します。
  6. 目的を定め、運用・評価を繰り返しCSIRT組織の総合的なレベルアップを目指します。

当サイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。当サイトをご利用いただく際には、当社のクッキーの利用について同意いただいたものとみなします。当社の使用するクッキーや、クッキーの削除またはブロックの方法については、プライバシーポリシーをご確認ください。