セキュリティ事故に備えるシーサート構築術

国内で活動する先進企業のシーサート事例インシデントと戦うCSIRT(1/3 ページ)

企業がセキュリティインシデントへ適切に対応する枠組みが「シーサート」である。国内で既に活動している先進企業のシーサートの事例から、シーサートを構築するためのヒントを探ってみよう。

» 2009年03月23日 08時30分 公開
[ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「セキュリティ事故に備えるシーサート構築術」でご覧になれます。


 企業がセキュリティインシデントに対応するための機能として実装するのが「シーサート」(CSIRT:Computer Security Incident Response Team)である。シーサートには何か決まった形態があるわけではない。企業の事情に合わせて「インシデントに対応できる枠組み」であれば良い。

 今回は、既に国内で活動している企業のシーサートを取り上げ、それぞれのシーサートがどのようなきっかけによって誕生し、どのような形態で構築、運用されているのかを紹介しよう。これからシーサートを構築する企業は、ぜひ参考にしていただきたい。

調整機能も担うYIRD

 「YIRD」(ヤード、Yahoo Incident Response Department)は、ヤフーのシーサートである。シーサートとして正式に活動を始めたのは2006年末である。それ以前のヤフーにおけるインシデント対応は、各々の担当者や担当部署の裁量で行われており、会社としてシステマティックな形で行われてはいなかった。

 その一方でヤフーは、フィッシング詐欺から顧客をどのようにして守るか、また他社サイトの利用者IDが盗まれ、それが自社サイトでも使えてしまったといった、全社的な対応が必要なだけでなく、自社だけでは対応しきれないインシデントに対して、会社としてどのような対応が必要であるかという問題に直面していた。

 こうした中、JPCERTコーディネーションセンター(JPCERT/CC)から他社との連携やコミュニティとの情報交換を行う枠組みとしてのシーサートを紹介されたことがきっかけとなり、YIRDが設立されるに至った。

 YIRDの特徴は、社外からみたときには「組織内シーサート」であるが、社内からみた場合は各事業部との調整(コーディネーション)を行う「コーディネーションセンター」であるという点だ。

 YIRDは、情報セキュリティ本部やシステム統括部、広報、法務などのインシデント対応に関係する複数の部署のメンバーおよびCTO(システム統括部トップ)などの権限を持ったメンバーから構成される仮想的なチームであり、社長直下の「委員会」の位置付けである。この中で情報セキュリティ本部は、セキュリティポリシーの策定や運用を行う部署であり、システム統括部はYIRDの事務局の役割を果たしている。

 YIRDのメンバーがインシデントに直接対応することはなく、システム統括部によるリスク分析(トリアージ)に基づき、当該サービスシステム担当部署に対応方針などの指示を出し、インシデント対応完了までの進捗管理を行う。これはシステム統括部がそもそもサービスシステム担当部署を横串で統括(啓発、システム開発・管理、データセンター管理など)する部署であることに由来する。

 一方、CTOがYIRDのメンバーであることから、システム統括部によるトリアージに基づき、あらかじめ決められたクライテリアにしたがって、サービス停止などの重大な判断を下すこともできる。

教育にも注力する楽天

 「Rakuten-CERT」は楽天のシーサートである。Rakuten-CERTが正式に活動を開始したのは2007年末であるが、それ以前からインシデント対応体制は整備されていた。

 その一方で、楽天のインシデント対応体制の中心にある「開発部システムセキュリティグループ」では、不審なアクセスを行っているアクセス元のインターネットサービスプロバイダ(ISP)へ対応依頼しなければならない事態など、自社単独での対応が難しいインシデントが今後増加していくであろうとの予想から、そのようなインシデントに対応するための方策を検討していた。

 そのような中、日本のシーサートのコミュニティーである「日本シーサート協議会」(NCA)の存在を知り、国内シーサート間での情報交換と相互連携のために、既存のインシデント対応体制をNCAの加盟要件に合う形で整理し、シーサートの枠組みに当てはめたものがRakuten-CERTだ。

 Rakuten-CERTの特徴は、その中心が「開発部システムセキュリティグループ」であることが示すように、楽天グループが提供する自社開発のインターネットサービスを対象にしている点である。

 具体的には、楽天グループ内で自社開発しているサービス用のシステムの脆弱性などに起因するインシデントに対して、発生の未然防止、被害拡大の抑止、再発防止などを目的とし、楽天グループ内の開発部門をセキュリティの面で統括している。この点でRakuten-CERTは、「コーディネーションセンター」としての性質を有しており、また自社開発のWebアプリケーションの脆弱性に対応するという点では(若干性質は異なる)「ベンダチーム」の側面もある。

 Rakuten-CERTは開発部システムセキュリティグループの常勤メンバーを中心に、楽天グループのさまざまなサービスの開発を担当する開発部のメンバーによって構成されており、緊急時には開発部の取締役と連携して、リスク情報がエスカレーションされ、意思決定される形になっている。

 一方、Rakuten-CERT は社内教育に特に力を入れており、物作りの部署には脆弱性を作りこませないための厳しい教育を行っている。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ