企業へのサイバー攻撃が止みません。防御をしても、敵はその裏をかくように攻撃をしかけてきます。そのためサイバー攻撃による事故は「発生してしまうもの」として、事故が発生しても迅速に対応できる体制を構築したほうが効果的です。この考えに基づく体制をCSIRTと呼びます。ここではCSIRTの意味合いと体制構築について紹介します。
CSIRTとは、その役割を知る
CSIRTとは「Computer Security Incident Response Team」の略で「シーサート」と読み、コンピュータに関するセキュリティ事故の対応チームを意味します。セキュリティ事故は「発生する」という想定のもと、迅速に対応できるように予めチームを組んでおくという取り組みです。
CSIRTの構成。技術者以外にもステークホルダーとも構成すべき
セキュリティ事故をゼロにするためにはとても高額なコストがかかりますし、そこまでしてもやはりゼロにはできません。ならば事故が起きる想定で対策(チームを作る)をしておく方が効果的です。いわば火災や災害における消防団のようなもので、ここにCSIRTが求められる理由が存在します。
当然、コンピューター・セキュリティの担当者や有識者がチームメンバーにふさわしいですが、事故が発生したら急ぎ社内で情報共有が必要になりますから、各部署のメンバーの参加も望ましいです。時には経営判断も必要になるので、経営層との連携も考慮すべきです。つまり技術的な対応チームと社内(もしくは社外含む)のメンバー、経営層、ステークホルダーといった方々でCSIRTは構成すべきでしょう。
ますます巧妙になる攻撃手法
残念ながら、サイバー攻撃は日々進化しています。もちろん対策はされていますが、攻撃側はさらに上手を行こうと頭を絞っています。例えばビジネスメールを装いIDとパスワードを盗む標的型攻撃はよくみられます。よく使う人気サービスのそっくりなサイトに誘導されても、それを偽物と疑わずにアカウント情報を入力してしまう人は多いです。
企業でも、不用意にメールに記載されたURLはクリックしないように注意は促していますが、そうしたトラブルをゼロにするのは難しいと言われています。しかし、メールの脅威について判定できるETP(Eメール脅威阻止)などのフィルターで危険度をチェックすることはできます。こうしたスキルを持つ人材を派遣してくれるサービスもあります。
日本でもシーサートの協議会があり、対策が進んでいる
CSIRTは、1988年に米カーネギーメロン大学内に設置されたチームが最初で、国内では2007年に日本コンピュータセキュリティインシデント対応チーム協議会という任意団体が発足され、現在も日本シーサート協議会(通称)として活動しています。協議会ではいろいろなワーキンググループ(WG)を設置し、CSIRTの活動を推進しています。
例えば「メール訓練手法検討サブ WG」では、企業の従業員向けの攻撃メールに対する対応訓練に関する話題を共有し、攻撃メールへの効果的な対応手法の訓練を検討しています。 「工場セキュリティ WG」では、昨今のランサムウェアの脅威に対抗するために、工場セキュリティの現状を共有・可視化して対抗のベストプラクティスをまとめ、工場を守る手法の拠り所となるような成果物の作成と公開を目指しています。
経済産業省でも指針を提示
もちろん政府も経済産業省を中心に、企業が守るべきセキュリティ指針「サイバーセキュリティ経営ガイドラインver2.0」を公開しています。この指針を守ることは企業の社会的な義務でもありますから、指針を参考にしてセキュリティ対策を検討するのは有効な手段です。ガイドラインのP.14でも、指示7・インシデント発生時の緊急対応体制の整備として「初動対応、再発防止策の 検討を速やかに実施するための組織内の対応体制(CSIRT 等)を整備させる」などCSIRTの設置を推奨しています。
CSIRT体制を構築するには
CSIRTには、ベストという型はありません。なぜなら100社あれば100通りの業務があり企業の方針があるからです。CSIRTは、組織体制、企業風土、業界独自の事業形態やリスクに基づいて構築されますから、企業の風土を反映した形がベストと言えるでしょう。こうした視線でCSIRT体制構築の指針を考えてみましょう。
CSIRTは組織ではない
CSIRTは、有事に迅速に集合し、セキュリティ事故に対応することを本質としています。街の消防団といったイメージです。ですから街の様相と同様に、企業の風土や文化によってもその仕組みや形は異なります。セキュリティ事故の種類によっても異なります。ただ大切なことは、火を消すという機能を、いつ起こるかわからない状況でも、しっかり機能させることです。
CSIRT体制の構築に関して
「CSIRT体制は企業によって異なる」というのは正しいのですが、それでも体制の中でどの企業にとっても重要な部分はあります。そうした共通部分を中心に、CSIRT体制構築に有用な情報が公開されているので、これを参考にすると良いでしょう。それは、JPCERT/CC(JPCERTコーディネーションセンター)がWebで公開している「CSIRTマテリアル」です。構想、構築、運用の3つのフェーズに関して詳細な情報を公開しています。
例えば、その中の「組織内CSIRTの構築プロセス」では、
●経営層から理解を得る
●組織内の現状把握
●組織内CSIRT構築のためのチーム結成
●組織内CSIRTの設計と計画
といった形で8つのプロセスが紹介されています。
なお、JPCERT/CCは、技術的な立場における日本の窓口CSIRTで、日本シーサート協議会の事務局でもあります。
インシデント対応だけでないCSIRTの作業内容を理解する
CSIRTの基本はセキュリティ事故への対応ですが、事故を無事に収束させるには、事故発生から始まる作業全体を理解しておくことが大切です。ここでは、その理解に役立つ、日本シーサート協議会資料から「CSIRTと消防署の役割の比較例」を紹介します。消防の役割を例に、CSIRTの作業全体を紹介しています。
| CSIRTの場合(例) | 消防署の場合(例) | |
|---|---|---|
| 対応 | ・連絡先の提供:Email アドレス/電話 ・連絡目的:対応や技術支援などの要請 | ・連絡先の提供: 電話(119番) ・連絡目的: 消火依頼、救出要請など |
| 活動 | ・インシデントの分類、優先度の判断と対応方法の決定 ・適切な(技術的)対応を取る人への連絡調整 ・被害の極限化策の実施(ネットワークからの切り離し、システムの設定変更等) ・インシデント原因の排除(脆弱性箇所へのパッチ適用、ウィルス除去、Phishing サイト停止等) | ・火災規模、症状等の判断と対応方法の決定 ・最寄の消防車や救難機材の手配に関する連絡 ・火事の拡散防止や救出等の緊急避難等のための一部破壊 ・消火活動及び救出活動 |
| 予防 | ・ユーザへのセキュリティ啓発活動 ・インシデント脅威情報の提供 | ・防火訓練や救出講習等の啓発活動 ・火災/乾燥注意報による注意の呼びかけ |
CSIRT体制構築のポイント
CSIRT体制の構築には、技術的部分を含むいろいろな機能を備えることが重要です。機能については、先に消防署との対比で理解できたことと思いますが、他にも、会社の上層部からお墨付きをもらうなど、会社内でのポジションを明確にすることも重要です。
上層部の理解がないままでは「有志の集まり、個人的な勉強会」という位置付けから抜け出せず、なかなか会社にフィードバックしにくくなります。また機能においても、自社の社風にマッチした機能を作ることも大切です。ルールをきちんと守ることが社風なら、事故発生時の伝達人員を「そのとき空いている人」ではなく「部署の上長、副主任とする」など明確に割り当てていたほうが、機能が社内に溶け込みやすいでしょう。
CSIRTを活性化させるために
CSIRT体制を構築したといってもそれはスタートです。サイバー攻撃はそのやり口をどんどん変化させています。常に最新の情報を元に、CSIRTを進化させることが必要です。
大切な外部との情報交換
セキュリティ対策には、常にどのような攻撃があるかといった情報収集が大切ですが、攻撃対象が限定的なので攻撃に関する詳細な情報が公になりにくい「標的型攻撃」などが増えていて、自社の努力だけでは情報収集には対応しきれません。
そのためCSIRTは、セキュリティに関する情報交換の役割も行っていて、情報を交換したい場合はCSIRTのコミュニティに参加します。国際的にはFIRST(Forum of Incident Response and Security Teams)が、日本では日本シーサート協議会(NCA)がそれに当たります。FIRSTは1990年に発足され、2022年、99の国と地域から615のCSIRTが参加しています。加盟に際しては、JPCSIRT/CCなどが情報を発信しています。
JPCERT/CC:FIRSTの加盟手続きが変わりました
https://blogs.jpcert.or.jp/ja/2022/05/FIRST_application.html
業務分担も大切
CSIRTは、セキュリティ事故対策を主軸とするチームですが、より自社のセキュリティを強化したい場合、すべてをCSIRTに委ねなくても、内容によっては他部署が対応してもかまいません。逆に、そのほうがスムーズに行く場合もあります。
例えば、普及啓発などの社員教育は人事・総務が担当する、脆弱性対応のうちパッチ適用は情報システム部に任せるといった「作業分担」も、CSIRTを効率的に運営でき、ひいては会社そのもののセキュリティを強化できます。
外部への委託という判断も重要
CSIRT作業をチーム以外にも分担するという方法を紹介しましたが、24時間365日の監視や、高度な専門的分析作業などは外部の専門業者に依頼することは、よく行われていることです。「餅は餅屋」という発想は重要で、無理をしてまで全てを自前でやる必要はありません。
市場には、脅威判定、インシデント監視、IoC情報の調査、脅威ハンティングといったスキルを有するセキュリティ技術者人材派遣サービスがあります。こうしたサービスでは、セキュリティ教育専門スクールを受講し、さらに半年程度のOJTを経験した技術者が多く在籍していて、企業が必要とするセキュリティ関連の業務サポートに対応してくれます。多様な人材がいますから、自社のスキルが足りない部分は相談してみましょう。
