企業におけるセキュリティ対策の重要性が高まっている。重要なデータや金銭を狙う標的型攻撃もますます巧妙化してきている。一方で従業員による内部犯行にも目を光らせる必要がある。セキュリティ対策をめぐる環境の変化に応じ企業内への設置が進むCSIRT。本記事では、セキュリティ対策において被害の最小化に貢献するCSIRTについて解説する。
CSIRTとは
CSIRT(シーサート)とは、「Computer Security Incident Response Team」の頭文字をとった略称で、セキュリティインシデント(セキュリティ上の問題)が発生した場合に対策をおこなう組織のことを意味する。CSIRTが設立された背景には、「セキュリティインシデントは起こるものである」という考え方がある。どんなに強固なセキュリティ対策を施しても、セキュリティインシデントを完全に防ぐことは難しい。攻撃者に狙われれば、さまざまな手法で攻撃を執拗に繰り返されることになり、いつかは防御を破られてしまいかねない。
CSIRTは、セキュリティインシデントにあった場合に、速やかに攻撃を検知し、組織的で迅速な対応をとるためのチームとなる。攻撃に対する守りの面だけでなく、システム復旧や原因究明まで網羅的に担っていることが大きな特徴であるといえるだろう。
CSIRTの歴史は古く、1988年に拡散したインターネット上のワームに対抗するために、米国カーネギーメロン大学内に「CERT/CC(Computer Emergency Response Team Coordination Center)」が設置されたのが、最初のCSIRTであると言われている。日本では、1996年に「JPCERT/CC (Japan Computer Emergency Response Team Coordination Center)」が設置された。その後も、内閣官房情報セキュリティセンター(NISC)対策推進室内に設置された緊急対応支援チーム「NIRT(National Incident Response Team)」や、「NCA(Nippon CSIRT Association、日本シーサート協会)」など、複数のCSIRTが立ち上がっている。
数多く存在するCSIRTだが、以下の6つの体系に分けられることが知られている。
- 組織内CSIRT(Internal CSIRT)
特定の組織内で起きたセキュリティインシデントに対応する。企業内に設置されるCSRITはここに分類される。 - 国際連携CSIRT(National CSIRT)
国や地域を代表するCSIRT。日本ではJPCERT/CCがその代表例となる。コンピューターセキュリティの情報を収集し、セキュリティインシデント発生時の迅速な活動に役立てるとともに、広く情報提供をおこなっている。組織内CSIRTは、国際連携CSIRTが公開する情報を収集して、セキュリティ対策に役立てることが求められる。 - コーディネーションセンター(Coordination Center)
他のCSIRTと連携し、情報セキュリティに関する調査や情報収集を担う組織。米国にあるインターネットセキュリティを扱う研究機関「CERT/CC」はその代表例だ。JPCERT/CCもここに分類されることがある。 - 分析センター(Analysis Center)
サイバー攻撃の手法やマルウェアの動きなどを調査、分析する機関のこと。セキュリティインシデント発生時に、システム復旧や原因究明に役立てることができる。 - ベンダーチーム(Vendor Team)
自社製品の脆弱性について調査し、場合によっては注意喚起のうえ、セキュリティパッチを提供する。 - インシデントレスポンスプロバイダー(Incident Response Provider)
CSIRTのアウトソーシングベンダーのこと。外部パートナーとして、企業などからCSIRTの機能提供を請け負う。自社組織内にCSIRTを立ち上げることが難しい場合、インシデントレスポンスプロバイダーの利用も選択肢として考えられる。
CSIRTの必要性
巧妙化するサイバー攻撃による被害を防ぐには、防御策だけ講じておけばよいものではない。技術的な限界は必ず存在し、パッチの適用忘れといった人為的なミスも避けられない。現在、使っている情報機器のOSに未知の脆弱性が存在する可能性もあれば、従業員が密かに機密情報を持ち出す可能性も否定できない。セキュリティインシデントを完全に防ぐ予防策はもはや存在しないということを企業側は認識する必要がある。
CSIRTの重要性にいち早く気づいた欧米諸国では、企業内にCSIRTを設置することが一般化しつつある。IPAが公開した「企業のCISOやCSIRTに関する実態調査2017」をみると、CSIRT 等のインシデント対応組織の設置状況は、日本の66.8%に対し、欧州は78.0%、米国では90.1%に達する。日本では、諸外国と比較するとセキュリティインシデントに対する意識が低く、対策も十分ではないのだ。
実際に、セキュリティインシデントが発生した状況で、迅速な対応を適切におこなうことは容易ではない。しかし、セキュリティインシデントへの対応を誤ると、社会的な信頼の失墜など、企業存続をも左右する大きなダメージを被る可能性も否定できない。万全なセキュリティ防御策を施しているからセキュリティ対策は万全だという考え方を、まずは改める必要があるだろう。
CSIRTの役割は、セキュリティインシデント発生時の対応だけではない。適切な対応をとるために、日ごろから最新のサイバー攻撃手法やマルウェアの動向、セキュリティ対策の技術動向など、必要な情報の収集も求められる。このような動きは組織の中でセキュリティに関する情報の集約化・一元化を実現し、防御策を講じる際にも役立てることができる。CSIRTには、企業がセキュリティ対策を検討し実行に移していく中で、中心的な役割を果たしていくことが期待されている。
企業統治の観点からも、CSIRTの必要性は高まっている。企業をめぐるステークホルダーからは、事業継続に対する目が厳しくなっている。BCP(Business Continuity Plan、事業継続計画)を策定し、その情報を公開している企業も少なくないはずだ。CSIRTの設置は、企業がBCPを検討し、事業の継続性を考えるうえでも重要な取り組みとなる。検討するべき脅威は、災害やテロだけでなく、セキュリティインシデントも含めることを忘れてはならない。
組織内CSIRTの構築方法
企業にとって重要性が高まるCSIRTだが、情報システム部門といった特定の部門に丸投げするのは避けるべきだ。事業の存続をも脅かすセキュリティインシデントに対しては、ひとつの部門のみで対処するのではなく、組織的な体制を構築して取り組むことが求められている。それでは、CSIRTをどのように構築すればよいのだろうか。実際の構築方法については、JPCERT/CCが公開しているCSIRTの構築方法が参考になる。JPCERT/CCでは、以下3つのフェーズに分けて検討することが推奨されている。
フェーズ1: 構想フェーズ
最初のフェーズとなるこの段階では、自社におけるCSIRTの構想を推進するためにも、経営層の理解が何よりも重要となる。組織の中のCSIRTの位置づけや、捻出できる予算を加味しながら今後の経営戦略や事業計画との整合性も考慮に入れる必要がある。
経営層が積極的にプロジェクトに参画するためには、セキュリティリスクを正しく認識した上で、CSIRTの重要性について理解させる必要がある。加えて、自社のセキュリティポリシーや企業投資の考え方に基づき、その企業組織に最適なCSIRTの在り方を検討、構想することが求められる。
フェーズ2: 構築フェーズ
フェーズ1で検討された方向性を元に、CSIRTを具体化するための設計と計画を策定するフェーズである。活動内容や組織内の位置づけを明確にし、リーダーを含めた人選を進めていく。CSIRTといっても、独立した組織の設置が必須条件という訳ではない。脅威の大きさや保有する情報資産の価値、予算などを考慮に入れながら自社の状況に即したCSIRTを構築していく必要がある。
フェーズ3: 運用フェーズ
CSIRTに与えられた役割に基づき、運用を開始する。運用フェーズにおいては、インシデント発生前の平常時の運用と、インシデント発生時の運用に大別される。
平常時において、CSIRTの重要な役割は、情報の収集と共有である。最新のサイバー攻撃手法を収集し、自社のセキュリティ強度を評価してセキュリティリスクを把握する必要がある。場合によっては、既存のセキュリティ対策の設定変更や、追加的な対策を施す必要があるだろう。従業員へのセキュリティ教育を通じて新たな脅威への対応力を身につけさせることも、CSIRTの役割となる。
セキュリティインシデントが発生した場合のアクションについては、JPCERT/CCが公開しているインシデントハンドリングマニュアルを参考にし、自社の実状を反映させて手順を明確化しておく必要があるだろう。インシデントの発生原因を明らかにし、再発防止策を施すことで、今後のセキュリティレベルを強化していくことも重要だ。
セキュリティ対策に日々の運用徹底が重視される時代へ
サイバー攻撃の脅威が高まり続けている状況において、防御策に一定の投資をするだけで安心できるような時代ではない。有事の際の対応を前提とした、日々の訓練や運用が重要であり、それらの役割をCSIRTが担い、リーダーシップを発揮していくことが求められるようになっている。いわば、地域の中に有事の際に即応できる消防団があるように、企業においても、セキュリティインシデントが発生した際に即応できるチームが必要なのだ。
経営者の中には、情報システム部門がセキュリティインシデントに対応できるから問題はないだろうと考える向きもあるかもしれないが、いまやセキュリティの脅威は片手間で対応できないほどに大きくなっていることを強く認識すべきであろう。実際に被害に遭遇した場合にできる対応は限られる。また、被害の状況によっては企業の存続すら危ぶまれるようになってきている。時代の変化と真摯に向き合い、適切な対策のひとつとしてCSIRTの重要性を捉えてもらいたい。
