JPCERT コーディネーションセンターは2018年12月、日本シーサート協議会と共同で実施した「CSIRT構築および運用における実態調査」の結果を公開した。

CSIRTはComputer Security Incident Response Teamの略であり、発生したセキュリティインシデントに効果的に対処するための組織体制の要となる。増加の一途をたどっているサイバー攻撃への備えとして、国内の企業・組織において、CSIRTの構築が進んでいる。

同調査から浮かび上がった、国内の企業・組織のCSIRTの実態はどのようなものだったのか。今回、同調査を担当したJPCERT/CCの早期警戒グループ 情報分析ライン 情報セキュリティアナリストの森崎樹弥氏と森淳太朗氏に話を聞いた。

  • JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリスト 森崎樹弥氏

  • JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリスト 森淳太朗氏

2015年の調査結果と比べて、大きな変化はないが……

「CSIRT構築および運用における実態調査」は、日本シーサート協議会に加盟している組織187社の回答をまとめたもので、2015年の調査に続く、第2回の調査となる。

森崎氏は、「前回の調査から2年が経過したことから、CSIRTを備える組織が増え、CSIRTの活動の幅が広がっています。そうしたことを踏まえ、今回はCSIRTの実態を確認することに加え、構築済みのCSIRTが成熟するために取り組むべき課題を把握することに取り組みました」と、調査の目的について説明した。

2015年の調査で、多くの組織が次の6つの項目を定めた上で、CSIRT構築に取り組んでいることを検証したことから、今回の調査でもこれら6項目について対比を行っている。

  • CSIRTが提供するサービス範囲
  • CSIRTが持つ権限
  • CSIRTを配置する部署や構成メンバー
  • 連絡窓口(Point of Contact:PoC)
  • 社内に対して CSIRT の活動効果が伝わるような報告体制
  • 定期的なCSIRT活動の見直し

例えば、CSIRTが提供するサービスは「事後対応型サービス」「事前対応型サービス」「セキュリティ品質管理サービス」に分けて、調査を行った。各サービスの導入状況は以下の通りだが、森氏は「予想していた以上に、多くのサービスが提供されていることがわかりました」と話す。

  • 事後対応型サービスの導入状況 資料:「2017年度 CSIRT構築および運用における実態調査」

  • 事前対応型サービスの導入状況 資料:「2017年度 CSIRT構築および運用における実態調査」

  • 品質管理サービスの導入状況 資料:「2017年度 CSIRT構築および運用における実態調査」

森氏は、事後対応型サービスの「フォレンジック」と「マルウェア解析」は特殊な技能が必要になるため、他のサービスに比べると実施が難しいと指摘する。そのため、資金や環境が許すかどうかにも依存するが、民間ベンダーに依頼するのも手だとアドバイスする。

また、今回から調査項目に加わった「PSIRT」についても聞いてみた。PSIRTはProduct Security Incident Response Teamの略で、組織が提供する製品の脆弱性に起因するリスクに対応するための組織内機能だ。最近、国内でも設置が進んでおり、森崎氏は「CSIRTが拡大していることを示す傾向の1つ」と話した。

調査の結果、PSIRT機能を有している組織は全体の22%程度で、そのうち、実際に窓口を設けている組織および脆弱性対応までのプロセスが確立している組織はいずれも65%程度、実際に対応経験がある組織はおよそ 50%程度だったという。

昨今、IoT機器の脆弱性を悪用したサイバー攻撃が増えているが、IoTデバイスのセキュリティを確保するという意味でも、PSIRTの重要性は増すことが予想される。