CSIRT(シーサート)/CERT(サート)
CSIRTとは
CSIRTとは、Computer Security Incident Response Teamの略で、企業や行政機関等に設置されるインシデント(コンピューターシステムやネットワーク)に問題が発生した際に対応する組織です。
インシデント(社内の情報システムや通信ネットワークでウイルス感染や不正アクセスなど)が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行います。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行ったりすることもあります。
CERTとは
CERTとは、Computer Emergency Response Teamの略で、インシデント(コンピューターやインターネットのセキュリティ)に関する研究や情報発信を行っているアメリカの研究機関です。1988年に発生したワームの大規模感染事件を機に設立されました。現在様々な組織に設置されているCSIRTの大元的な存在とされています。
CSIRTへの期待と役割(機能)
インターネット上の脅威が拡大し続けている今日、企業がインシデントゼロの状況を作り出すのは不可能です。そのため、インシデントが発生することを前提として、発生後の的確な対応が強く求められています。
具体的には以下のような対応が求められています。
- 社内CSIRTがインシデントへ直接対応する。(簡易的なインシデントの場合を想定)
- 社内にCSIRTを設置し、インシデントが発生した際、技術的な支援や組織内全体の調整や統制等の活動を行います。取り急ぎの対応が終了次第、関連部署や専門部隊(場合によっては外部組織)に引き継ぎます。
- インシデントへ直接対応せず、外部組織への調整役として機能します。
このように、CSIRTは、社内・社外問わず、連携の中心(ハブ)となることが重要です。そのために、社内ではCSIRTの活動内容とセキュリティに関する啓蒙活動を行い、社外組織との信頼関係を築き、連携可能な体制を構築・維持する必要があります。
CSIRTの機能をまとめると以下のようになります。
1.監視(アラート、ログなどの異常監視、エスカレーションによる異常検知など)
2.特定(インシデントの特定)
3.防御(インシデントが発生しない状況への対応)
4.検知(インシデントの発見方法)
5.対策(インシデントに対しての対策検討)
6.連携(関連CSIRTやCERTへの報告、情報収集、確認など)
どのようにCSIRTを導入、開始するか
CSIRTの開始には以下のような手順が必要です。
1.戦略企画:CSIRT組織、内外の連携先、対応スコープ、外部依存度など
2.設計:戦略に基づくCSIRT組織、プロセス設計
3.構築:導入、設置
4.運用:試行運用から本運用へ
5.評価:定期的な点検、評価によるCSIRTの成熟度向上
まとめ
インシデントはどの企業でも脅威になり得ます。そのため、CSIRTを導入することは重要です。その際、以下6つのポイントに留意するべきです。
1.インシデントに対しては、高度な意思決定が必要ため、日常的に経営との連携を行います。
2.「守るべきモノ」を正確に理解・特定し、それを守ることに厳格に対応します。
3.外部の専門家を積極的に活用し、中長期的な内部人財の成長を目指します。
4.導入を目的とせず、運用開始後には演習や実践を繰り返し、組織全体のスキルの底上げと意識改革を目指します。
5.プロセスは大枠のポイントに絞り、柔軟性の高い対応を目指します。
6.目的を定め、運用・評価を繰り返し、CSIRT組織の総合的なレベルアップを目指します。