企業を狙うサイバー攻撃は近年巧妙になり、手口も多様になっている。安定したサービス提供を妨げる攻撃やユーザー情報の不正奪取といった攻撃の被害例は、多くの人がいくつも思い出せる状態だろう。そうした状況下ではウィルスやマルウェアに対応する防御アプリケーションやファイアウォールによる防御に特化した対策に限界が出て来ているという。そこで必要とされているのが「CSIRT」だ。
CSIRTとは
「CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。コンピュータセキュリティインシデントとは、情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象」(JPCERT/CCより)だ。
「CSIRTは、何かが起きた時に備える組織です。今までのセキュリティ対策は防御に徹したものでした。しかし最近の攻撃は、どれだけ守りを固めても侵入されてしまうようになっています。インシデントの発生を前提としてセキュリティ対策をとるべきだろうという意識が高まってきたことで、各社でCSIRTづくりが進んできています」と語るのは、CSIRT構築サービス等を展開するSecureworks Japanのサービス事業部 シニアマネージャである大沼希誉隆氏だ。
金融業や特に個人情報を多く扱うサービスを展開する企業などを中心にCSIRTを組織する企業は増えているが、十分に有効な体制を構築できていないという例もあるようだ。また、最近になって危機感を持った企業も増えていることから、Secureworksにヘルプを求める例が増えているという。
情報システム部門からは独立した組織が理想
従来のサイバーセキュリティ対策といえば、情報システム部門が受け持つことが多かった。しかし、CSIRTはそこから独立させることが理想的だという。
「CSIRTを本格的に立ち上げている大手企業の場合、CIO(Chief Information Officer:最高情報責任者)とは別に、CISO(Chief Information Security Officer 最高情報セキュリティ責任者)という役職を設け、その配下で運用しています。権限も責任も予算も分かれている、というのが理想的なものです。しかし実際は発展途上であり、人材も不足しているため情報システム部門の中で育てて行こうという状態です」と大沼氏は語る。
-
Secureworks Japanのサービス事業部 シニアマネージャである大沼希誉隆氏
CSIRTを設けている中堅企業以上の場合は、情報システム部門の中にCSIRT専任の人員を配置しているケースが多く、中小企業の場合は、業務システム運用など別業務との兼務になっている場合が多いようだ。
「仕事に集中できるのはもちろんですが、権限が分かれていることで社内のポリティカルなものに巻き込まれないというのもポイントです。システム部門とCSIRTでは利害がぶつかりがちでもあるため、同じ指揮系統にあるとうまくいかない場合もあります」と、大沼氏はシステム運用部門とCSIRTを分けるメリットを語った。
-
CSIRTはなぜ必要なのか
利便性と安全性は両立させづらいのは以前から言われてきたことであるが、CSIRTの動きについてもこれは当てはまる。ユーザーにより使いやすいサービスを迅速に提供したいというシステム運用部門と、安全性を逐一確認し、問題があるならばサービス停止やむを得ないという判断もしなければならないCSIRTは、相容れない部分が出てきてしまう。
-
CSIRT構築のアプローチ
「CSIRTの持つ権限として一番重要なのは、何かが起きた時の最終的な意思決定を誰がするのかをあらかじめ決めておくことです。お客様に提供しているサービスが侵害された時、そのサービスを止めるという判断ができるのは誰なのかを最初から決めておけば、スムーズな判断ができます。CIOやCTO(Chief Technology Officer:最高技術責任者)ではビジネス上の利益が相反し、判断が難しくなります。セキュリティに特化した責任を負うことをはっきりさせておくことが必要です」と、大沼氏はCSIRTが独立して持つべき権限の重要性を指摘した。
-
CSIRTの組織体制構築例
