CSIRTとは、自社内に設置され、他企業、他組織と連携しながら、より的確に、より効率よくインシデント対応するための体制・仕組みのことです。
たとえば、自社のサーバがサイバー攻撃の被害にあい、何万件もの個人情報が流出してしまったという場合には、問題は自社内にとどまらず、広い範囲に及びます。
その際、自社内では、システム部門の担当者が原因の特定、他の被害の有無の確認などを進めながら、それと並行して、広報部は顧客や株主などの利害関係者にこまめに情報発信をするなど、関係各署が連携を取りながら、速やかに事態を収拾させる必要がります。
場合によっては、システム部門は、サーバやアプリケーションのベンダーと連絡、協力しながら現状を確認し、対応策を模索します。さらに、同じような被害が出ていないかなどを、外部のセキュリティ専門組織に問い合わせをするなど、社内、社外を問わず、横断的に対応を進めることもあります。
これらの横断的な対応をするにあたり、インシデントが発生して初めて関係各署のスタッフが集まり対応を協議していたのでは、スムーズにインシデント対応することが難しくなります。
そのため、何事も起こっていない平時から、インシデントが発生した時のことを想定しながら、インシデント発生時には、どこに誰が集まり、どのような連絡を取り合って何をやるなどを自社内の組織としてまとめ、関係するスタッフをチームとして構築したものがCSIRTです。
CSIRTを組む際、構想、構築、運用の3ステップがあります。会社や組織の中で上層部に対して、組織内CSIRTの位置付けや必要性を理解しやすいように資料をまとめ提供するところから始まります(構想)。
上層部の理解が得られたら、今度や予算や人的、物的リソースを確保し、インシデント発生時のCSIRTの動き方を書面などにまとめて準備します。その後、人選されたスタッフのセキュリティ意識の向上や、より実践的なトレーニングを積むなど、教育をほどこします。社外やベンダーなど、インシデント発生時に連携する組織に告知します。外部の組織からフィードバックがあれば、それを検証するなどしてCSIRTメンバーに共有します。(構築)
実際に、大小を問わずインシデントが発生すれば、CSIRTメンバー、外部組織が協力して対応し、その対応や改善点を一つ一つ検証し、メンバーに共有し、不備な点があれば絶えず改善を繰り返すなどして、より効率的にインシデント対応ができるようにCSIRTをブラッシュアップします(運用)。
このようにサイバー攻撃を予防する対策、サイバー攻撃が発生してしまった際の事後対応の両面から準備し、改善しておけば、世界中でサイバー攻撃が蔓延していても、自社が受ける被害をゼロ、もしくは、最小限の留めることができます。
昨今のサイバー攻撃の高度化、被害にあった際の影響の大きさの拡大にともない、自社にCSIRTを構築する企業が増えてきております。
日本シーサート協議会の最新のデータによると、2018年1月9日現在で、271チーム構築されています。
日本シーサート協議会 会員一覧
CSIRTの認知度、必要性が世間で広く認められ、自社にCSIRTを構築する企業は、今後もますます増える傾向にあります。
まだ自社内にCSIRTを構築していない企業は、ぜひ、構築に向けて準備を始めましょう。