CSIRT構築

CSIRTとは

セキュリティ関係のIT用語で、CSIRTという言葉を耳にすることが増えたかもしれません。CSIRTは「Computer Security Incident Response Team」の略称であり、シーサートと読みます。

コンピューターに関するセキュリティに問題が生じた際に対応するチームを意味しており、事後の対応を中心に行うためサービス継続や復旧など高いレベルのセキュリティスキルが求められます。また、技術的な知識だけでなく法的な対応や社内調整や広報業務を担うこともあり、人的コストも必要です。

脆弱性対応が不十分だとサイバー攻撃を受けるリスクがあり、業界や企業規模を問わずセキュリティ対策は重視されています。セキュリティ事故の発生を予防することはもちろんですが、実際に事故が起こった後の対応をいかにスムーズに行うかが求められており、CSIRTは注目されているのです。

CSIRTの必要性

起業がサイバー攻撃を受けてウィルスに感染する、機密情報を盗まれるなどの被害は珍しいものではありません。状況を改善するために身代金を要求するケースもあります。サイバー攻撃の手口は多様化しており、セキュリティ対策には多額のコストがかかりますが完全に防ぐことが難しいのが現状です。

CSIRTが必要なのは、事故が起こることを前提とする対策が求められているためです。サイバー攻撃やセキュリティ事故が起こった後の対応に遅れがあると、被害が拡大してしまいます。いくら投資をしても完璧なセキュリティ対策ができないのであれば、事故が起こった後に迅速に対応する体制づくりをした方が良いと考えられているのです。

CSIRTの役割

インシデントを事前に防ぐ

セキュリティ体制を構築してネットワークやシステムエラーを検知し、インシデントの発生を防ぎます。セキュリティシステムの導入やセキュリティ規制の作成が主な業務となり、インシデントの発生を防ぎます。

また、必要に応じて社内外との情報連携やセキュリティ脆弱性に対する情報収集も行います。

脆弱性診断（セキュリティ診断）とは？
目的や必要性について詳しく見る

インシデント発生後の対応

インシデントが発生したとき、決められている処理を行って解決に向けて動いたり、被害を最小限にとどめたりします。CSIRTの役割の中でも、インシデント発生後の業務は最も重視されているものです。

インシデントを検知、連絡を受け付けた後にCSIRTでの情報共有を行います。その後、対応の優先順位付けを行い、実際の対応を行います。対応計画を立てて実施し、その後報告・情報報告を行います。

必要に応じて一般、メディア向けのプレリリースも必要です。CSIRT流れの中で適切な処理を行うことによって、インシデントの拡大を防ぐことが出来ます。

セキュリティ品質の向上

セキュリティ対策の専門家であるCSIRTは、社内のセキュリティ品質を向上させるために社内のセキュリティ教育の実施や啓蒙活動を行うことが大切です。社員のセキュリティ意識を高めることで、セキュリティインシデントの発生を抑えることにも繋がります。CSIRTは社外の専門家と連携して活動することもあるでしょう。

CSIRT構築のまとめ

社内でCSIRTを構築するためには、現状のセキュリティ体制について調査し、CSIRTの位置づけ、方向性を決めなければいけません。その後、CSIRTの計画を立案し、運用開始、運用状況に基づいた改善を実施していきます。事前対応や社内でのセキュリティ品質が高めれば、インシデントが発生する可能性を減らすこともできるでしょう。それも、CSIRTの役割の1つです。

これらを自社のみで行うこともできますが、外部の会社に委託するという選択肢もあります。株式会社アルファネットは、CSIRT構築の支援サービスを提供しています。現状把握から構築のためのチーム結成、リソースの確保、ポリシー作成、用意殷への教育から活動開始まであらゆるサポートを行います。教育トレーニングサービスも実施していますので、興味がある方はぜひチェックしてください。