CSIRTとは、セキュリティインシデントへの対応とセキュリティ品質向上を目的とした組織です。CSIRTを設置することで、組織のセキュリティ体制を強化する取り組みが増えています。
　本記事では、CSIRTの誕生の背景や、SOCとの関係性、CSIRT導入時における課題や注意点について解説します。

• CSIRTとは
• CSIRT誕生の背景
• SOCとの関係性について
• CSIRT導入時における課題や注意点
  • リソースと予算
  • 対応プロセスの策定
  • 関係者への認知
  • 関連部門とのコミュニケーション
  • 教育、訓練
  • 法令遵守、規格遵守
• xSIRT
• おわりに
• 関連するITソリューション
• ニュースリリース
• パブリシティ

CSIRTとは

　CSIRT（Computer Security Incident Response Team、シーサート）は、セキュリティインシデントに対応する組織です。インシデント発生時だけでなく、平常時においても、脆弱性対応の推進やインシデント事象分析、セキュリティ情報の収集や改善策の検討、組織への普及啓発や注意喚起など、組織内のセキュリティ品質向上のために活動します。

CSIRT誕生の背景

　CSIRTの誕生には、セキュリティ上の脅威が急速に拡大してきたことが背景にあります。特に、ランサムウェアなどマルウェアによる攻撃、標的型攻撃やDDoS攻撃などが急増しており、これらの攻撃に対処するために迅速かつ適切な対応が求められるようになりました。また、攻撃手法は日々巧妙化しており、脅威に対処するには、組織内に高度な専門性を持ったチームが不可欠となり、CSIRTが誕生することになりました。

SOCとの関係性について

　CSIRTと関係が深いセキュリティ対応組織として、SOC（Security Operation Center、ソック）があります。大まかには、下図のように、「SOC＝セキュリティインシデントの監視・検知・分析」、「CSIRT＝インシデント発生時の対応と平常時のセキュリティ品質向上」の役割分担がありますが、昨今の多様化するサイバー攻撃への対処に際し、両者の境界は曖昧になっています。実際の例として、「CSIRT内部にSOCを配置する」、「CSIRT自身がSOCの分析に参加する」、「SOCがCSIRTと連携しセキュリティ品質向上を推進する」、「CSIRTとSOCを兼任する人材を配置する」といったケースがあります。

CSIRT導入時における課題や注意点

　CSIRTを導入する際には、以下のような点に留意する必要があります。これらの項目について適切に考慮することで、より強固なセキュリティ体制の構築が可能となります。

リソースと予算

　CSIRTを運用するには、SOCとの連携を踏まえた上で、人員の配置やツールやシステムなどを整備する必要があります。インシデントが発生した際の被害を抑制する効果が期待できるEDRの導入などが有効であり、これらの導入コストやCSIRTを維持するために必要なコストを盛り込んだ予算を策定する必要があります。内製化が困難な部分についてはセキュリティベンダーに外部委託することも含めて検討する必要があります。

対応プロセスの策定

　CSIRTの活動を円滑に進めるためには、たとえばインシデント発生時のレポーティングラインやインシデントハンドリングフローなど、具体的なプロセスを策定し文書化する必要があります。また、近年はオンプレミスからAmazon Web Service（AWS）、マイクロソフトAzure、Google Cloud（GCP）などのクラウド基盤や、SaaSの利用が急増しています。これにともない、CSIRTの対応範囲もクラウド側に拡大することが避けられない状況にあります。クラウドサービスでインシデントが発生した場合の対応方法などについても想定することが必要となります。

関係者への認知

　CSIRTの存在、役割、対応プロセスを関係者全体に認知してもらう必要があります。関係者内での認知度が低いと、インシデント発生時の対応に遅れが生じ、被害が拡大するリスクがあります。

関連部門とのコミュニケーション

　CSIRTは、複数の部門と協力して活動するコミュニケーション能力が求められます。特に、CSIRTとSOC間のコミュニケーション不足は、インシデント発生時の迅速かつ適切な対応を阻害し、被害拡大に直結するおそれがあるため、注意が必要です。また、セキュリティ対応力の強化には、SOCのみならず、監査部門、コンプライアンス部門、広報部門などの他のセキュリティ関連部門との連携を強化することも重要です。

教育、訓練

　CSIRTは、最新の脅威に適切に対応できるように、メンバーのスキル向上を目的とした教育や訓練を定期的に実施する必要があります。スキル向上には、情報処理安全確保支援士、CISSP、CISAなどの関連資格の取得や維持も有効です。

法令遵守、規格遵守

　CSIRTの活動は、法的要件や規格要件に従って推進することが求められます。個人情報保護法、JIS Q 15001（Pマーク）、JIS Q 27001（ISMS）などの規格遵守が必要となる場合があります。

xSIRT

　近年は、CSIRTに加えて、製造業やクラウドサービス事業者などにおいて、自社製品やサービスを対象としたインシデント対応を目的としたPSIRT（顧客に販売されネットワークに接続された製品(Product)を対象）、DSIRT/SSIRT（顧客が利用するデジタル・サービスを対象）、FSIRT（生産ラインなど自社工場(Factory)を対象）などの組織が増えています。事業部門ごとに目的別のxSIRTを構築し、自社製品・サービスのセキュリティ対策を強化することで、CSIRTの負担軽減につながる効果も期待されます。

おわりに

　CSIRT導入を成功に導くには、CSIRTの活動範囲と役割分担を明確にした上で、適切な人員配置とツールなどの導入を行うことが重要です。SOCとの役割分担を踏まえたプロセス・手順・ツールなど技術を網羅的に整備し、継続的なセキュリティ改善活動を推進することが望まれます。

関連するITソリューション

サイバーセキュリティ対策 | 大和総研

ニュースリリース

大和総研、従来のセキュリティ対策を強化する最新ゼロトラストセキュリティソリューションを導入

パブリシティ

サイバーセキュリティの最新動向をタイムリーに発信～DIR SOC Quarterly～