サイバー攻撃が活発かつ複雑になっている近年、セキュリティ問題に対する迅速な対応をするためには、社内で体制を整える必要があります。
そこで注目されているのが、「CSIRT」です。
CSIRTとは何か、SOCとの違いや業務内容など、基本的な部分をわかりやすく解説します。
CSIRTとは
CSIRTとは、「シーサート/Computer Security Incident Response Team」の略で、サイバー攻撃や情報漏えいなどのセキュリティインシデント(セキュリティ分野において事故につながる恐れがある出来事)において、迅速に対応し解決するための専門チームのことです。
セキュリティインシデントが起きた際に通知を受け取る窓口として存在し、他セキュリティ組織と連携しながらシステムの停止、問題の分析・調査、復旧対応、再発防止などの作業を行います。
たとえるなら、火事が起きた時に消火活動を行う「消防隊」のような存在です。
何か起こった際に迅速に初動対応をして被害を最小限に抑えます。
CSIRTがいることで、情報漏洩など万が一の事態が起きた際に「誰がどう動いてどのような対処をするか」が明確になっているため、迅速に対応できて被害を最小限に抑えられるというメリットもあります。
SOCとの違い
CSIRTと並んでよく聞かれるのがSOCです。
SOC(ソック)は「Security Operation Center」の略で、企業のシステムやネットワークを守るために24時間365日体制で監視し、セキュリティインシデントを早期発見・初動対応支援を行います。
これも消防隊に例えると分かりやすいのですが、SOCは「24時間監視の見張り番」、CSIRTは「トラブルが起きた時に出動する消防隊」というイメージです。
CSIRTはどういう会社に必要?
CSIRTは社内に必要なのか、導入前は特に迷いますよね。
ここでは、CSIRTを導入した方が良い企業の特徴を紹介します。
顧客や取引先の重要データを扱う会社
金融機関、保険会社、ECサイト、医療機関などは、顧客情報や機密情報を多く取り扱っています。
情報漏洩すれば社会的信用を失い、法的リスクも大きいため、CSIRTによる体制整備が不可欠です。
社内で多数の端末・ネットワークを運用している会社
大企業やITベンダー、インフラ企業などは従業員数が多く、利用端末も膨大です。
取り扱う端末が多いほど、セキュリティインシデントのリスクが高まるため、万が一の際に迅速に対応できるCSIRTが必要になります。
サイバー攻撃を受けやすい業界
電力・通信・交通などの社会インフラを担う業種や、金融機関、行政機関、製造業(特に海外取引が多い会社)は、攻撃を受けることで社会的な混乱を引き起こします。
行政機関などは古い基盤を使用していることが多く、狙いやすいという理由もあります。
国家レベル・産業スパイ的な攻撃対象になりやすく、被害の規模も大きいためCSIRT体制が重視されます。
法規制や取引先要件がある会社
近年は個人情報保護法やGDPR、取引先からのセキュリティ監査対応などで、一定規模以上の企業にはCSIRTの存在が取引条件になるケースも増えています。
規模が大きい企業は、取引先との関係を良好に保つためにも、CSIRTの導入が必要です。
CSIRTを導入することで、安心して取引できます。
成長中で情報資産が増えている会社
スタートアップや中堅企業でも、社員数やシステムが急拡大している段階ではセキュリティ事故のリスクが急増します。
小規模でも「簡易CSIRT」や「兼任CSIRT」を設けることで被害を最小化できます。
CSIRTが実際に行う業務内容
CSIRTでは、実際にどんな業務を行っているのでしょうか。
平常時と緊急時の業務は以下のものになります。
【平常時】
- セキュリティに関する情報収集
- セキュリティに関する規定の策定
- 自社ネットワークの最新利用状況
- セキュリティシステムの製品・サービスの共有と導入
- 外部CSIRTとの連携
平常時は、情報収集とともにインシデント発生時の対応フローや基準を決めておきます。
常に新しい情報を取り入れ、役立つセキュリティシステムがあれば導入するなど、万が一に備えて対策します。
【インシデント発生時】
- インシデントの発見と報告
- 排除作業
- インシデントの発生日時・発生原因の調査・分析
- 復旧対応
- 再発防止策などの事後対応
インシデント発生時は、システムを復旧するためにシステムの停止や調査、復旧を行います。
その後、社内外のセキュリティ専門家と連携し、再発防止のための施策や原因究明を行います。
このように、CSIRTは平常時もセキュリティ対策のために活動しています。
安心して業務を行うためには、CSIRTの存在が必要不可欠なのです。
中小企業にもCSIRTは必要?
結論から言うと、中小企業でもCSIRTがあった方が安心です。
理由はいくつかあるので、それぞれ見ていきましょう。
サイバー攻撃の対象になっている
昔は、大企業のように個人情報を多く持っている企業が狙われる傾向にありました。
しかし最近では、セキュリティ対策が手薄な中小企業も、攻撃の標的になります。
ランサムウェアやフィッシング詐欺など、攻撃方法が多種多様で複雑になっているため、セキュリティに関して常に情報収集を行う人材がいないと、サイバー攻撃を受ける可能性が高まります。
取引先の信頼につながる
CSIRTを構築することで、顧客や取引先からのセキュリティ体制に対する信頼を得ることができます。
情報漏洩などが起きた際、迅速に対応できる体制が整っていると評価が上がりますし、お互いに安心してやり取りできます。
インシデント時の損害を最小限に抑える
社内にCSIRTがあると、すぐにインシデントに気づけるため、被害拡大を防ぎ復旧までの時間も短縮されます。
組織内での情報共有や対応フローが確立されるため、万が一の事態にも迅速に対応でき、サイバー攻撃の拡大を防げます。
法令・ガイドラインへの対応
個人情報保護法やサイバーセキュリティ基本法などでは、個人情報を適切に管理し、セキュリティ対策を講じることが求められています。
これらの法律に対応するためにも、セキュリティ体制の確立が求められます。
CSIRTを構築すれば、法律やガイドラインに沿った対応ができることに加え、周囲からの信頼度も高まります。
これでOK!CSIRT構築の流れ
では、実際にCSIRTを社内で構築する際の流れを確認していきましょう。
ある程度工程があるので、ひとつずつ丁寧に完了させていってください。
① 目的と方針の明確化
まずは、「なぜ自社にCSIRTが必要なのか」という目的と方針を明確にしましょう。
例えば、顧客情報の保護、法の遵守、業務への影響を最小限にする、社会的信用を守るといった観点から、CSIRTの必要性を社内で共有し、目的を一致させます。
この段階で、経営層の理解を得ることも非常に重要です。
経営の視点からセキュリティに取り組む姿勢が、CSIRTチーム作りの土台となります。
② 現状のセキュリティ状況を把握
構築に必要な情報を整理するため、自社のIT環境や情報セキュリティ対策の現状を正確に把握しましょう。
使用しているシステムやネットワーク、保有している情報資産、すでに導入されているセキュリティシステムなどの棚卸しを行い、どの部分にリスクがあるか、対策が足りていないかを洗い出します。
それと同時に、各部署のセキュリティ担当やインシデント対応経験のある社員に、現状把握のための聞き取り調査を行いましょう。
出揃った情報を基に、CSIRTの方向性を決めていきます。
③ CSIRTの人材を確保する
ここまで把握できたら、「誰がどの役割を担うか」を明確にします。
中小企業の場合、専任のセキュリティ人材がいないことが多いため、既存のスタッフが他業務と兼任する形でも問題ありません。
例えば、IT担当が技術的対応を、総務が社内調整や記録作成を、経営者が最終判断と対外対応を担当する、といった形でも十分機能します。
新しく人材を雇ってCSIRTチームを作る場合は、ITやセキュリティに関する知識を豊富に備えていることに加え、ある程度コミュニケーション能力やストレス耐性などがある人材を選びましょう。
どんな人が向いているかについては、次の項目で詳しく紹介します。
④ 対応フロー・マニュアルの作成
CSIRTを形だけで終わらせないためには、インシデント発生時の具体的な対応フローやマニュアルを文書化することが不可欠です。
ウイルス感染や情報漏えいなど、想定される事例に対し、「何が起きたら、誰が、何を、どう対応するか」を具体的に決めておきます。
初動対応のスピードと正確さが被害の大きさを左右するため、誰でも対応できるマニュアルを作成しておきましょう。
⑤ 連絡体制・通報手段の整備
インシデント対応には、迅速な情報共有と意思決定が求められます。
そのためには、社内の緊急連絡手段(電話、チャット、メールなど)を整理し、どの経路で、誰に、どのフェーズで報告するかを決めておく必要があります。
また、セキュリティ会社、プロバイダー、取引先などの外部関係者への連絡ルートも事前に整えておくことが大切です。
⑥ 訓練・教育の実施
CSIRTが実際に機能できるようにするには、繰り返しの訓練が不可欠です。
定期的にインシデント対応のシミュレーションを実施し、マニュアルに基づいて動けるかを確認しましょう。
また、全社員に対する情報セキュリティ教育と情報共有も忘れずに行いましょう。
日常のセキュリティ意識がインシデントの予防につながります。
⑦ 運用と継続的な改善
CSIRTは作って終わりではなく、継続的に運用・改善していく必要があります。
インシデントが発生した場合には、対応後に必ず振り返りを行い、原因究明とマニュアルや体制に改善点がないかを確認します。
新しい脅威や技術の変化にも対応できるよう、常に情報のアップデートを心がけることが成功のカギです。
システムに少しでも穴があれば、早急に原因の把握と改善を行いましょう。
CSIRTに必要なスキルとは?
CSIRT人材は、セキュリティやウイルス、ITインフラに関する知識が必要不可欠です。
しかし、必要なスキルはそれだけではありません。
CSIRT人材に必要とされるスキルを紹介していきます。
問題解決スキル
CSIRTは、インシデントが発生した際、迅速に適切な対応をして問題解決をしなければいけません。
検知アラートの中で優先順位を決め、短時間で合理的な判断を下して問題解決をするスキルが必要です。
突然の出来事に慌ててしまう人や、じっくり考えて動くのが得意な人には不向きの仕事でしょう。
コミュニケーション能力
CSIRT人材は、他のCSIRTメンバーや社内外の利害関係者、経営層など、幅広い関係者とコミュニケーションを取りながらセキュリティ対策や問題解決をする必要があります。
状況説明や情報共有、指示出しなど、様々なコミュニケーションをとる必要があるので、ある程度のコミュニケーション能力が必要になります。
ストレス耐性
CSIRTは、瞬時に問題を把握し、的確な解決行動をする必要があります。
「できるだけ早く問題を解決する」という緊張感の中で冷静な判断が必要となるため、ストレス耐性がないと続けていけません。
責任やストレスに弱い方は、あまり向いていないでしょう。
学習意欲
セキュリティやIT技術の情報は、常に進化し続けています。
サイバー攻撃は時代によってどんどん多様化し、複雑になっているため、最新情報を収集し続けなければ、最適な対応ができません。
常に学習を続け、最新情報を収集し共有していく意欲のある人が向いています。
よくある質問
CSIRTにおいてよくある質問をまとめたので、こちらもぜひ参考にしてください。
最低限必要な人数は?
CSIRTの人数は指定されているわけではありませんが、最低2人は設置したほうがいいでしょう。
一人が休んだ時に対応できるよう、2人以上はいた方が安心です。
使用端末が多かったり、24時間体制で監視したりする場合は、4人以上は必要です。
企業の規模やセキュリティリスクの大きさで、人数を変更してください。
設置は義務?
CSIRTの設置は義務ではありませんが、個人情報保護法やサイバーレジリエンス法などの法律を遵守するために、CSIRTの設置が有効です。
万が一のインシデントに即対応できますし、設置しておくことをおすすめします。
グループ企業や子会社がある場合、各会社に設置する?
各会社に設置する必要はなく、本社や持株会社など、中核を担う会社に設置しましょう。
CSIRTが中央にあることで、全社共通のルールを確立し、どの会社でインシデントが発生しても同じ流れで対処できます。
一つの場所で管理した方が迅速な対応がしやすく、混乱がなくなります。
また、本社でCSIRTチームがセキュリティ対策をしてくれていれば、少人数体制の子会社でも同じ水準のセキュリティ対策を受けることができます。
セキュリティ強化は導入ソフトから見直そう
社内でCSIRTを構築することが重要ですが、CSIRTのメンバーがより働きやすい環境を整備することもセキュリティ対策の一環です。
そのためには、ウイルスの検知や排除、対応をサポートしてくれるウイルス対策ソフトの導入がおすすめです。
当社で取り扱っているフーバーブレインのセキュリティソフトは、外側から守るタイプ、内側から守るタイプ、内外両方から守るタイプと、必要なセキュリティ対策に合わせて選べる多種多様なソフトが揃っています。
CSIRTの働きを良くするためにも、ぜひフーバーブレインのセキュリティソフトを知ってください。
少しでも気になったそこのあなた!担当が、お客様の環境に合ったセキュリティソフトを紹介させていただきます。
お問い合わせお待ちしております♪
コメント