セキュリティ事故に備えるシーサート構築術
ニュース
» 2009年03月25日 08時30分 公開

インシデントと戦うCSIRT:インシデント対応に備えるシーサート構築の最終ステップ (1/2)

セキュリティインシデントに企業が対応する「シーサート」の重要性が高まりつつある。今回は、シーサートによるインシデント対応をよりいいものとしていくための方法を探る。

[ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「セキュリティ事故に備えるシーサート構築術」でご覧になれます。


 本連載の最終回となる今回は、これまで紹介できなかった点を中心にインシデントに対応する上での推奨事項を紹介しよう。

コミュニティーへの参画

 本連載の第3回でも言及したが、インシデントへ対応するためには「情報収集」が最重要になる。しかし現在は、標的型攻撃や情報漏えいのように被害が特定の企業に限定されるインシデントが多く、詳細な情報が公にならないケースが増えつつある。そこで、一般には公開されない信頼のできる情報の入手先として有効なのがシーサートの「コミュニティー」である。

 コミュニティーとして代表的なものが、シーサートの国際的なコミュニティーである「FIRST」(Forum of Incident Response and Security Teams)や日本のシーサートのコミュニティーである「日本コンピュータセキュリティインシデント対応チーム協議会」(通称、日本シーサート協議会・NCA)である。

 FIRSTは1990年、米国のCERT/CCなどを中心に世界各国のシーサート同士の連携を目的に設立した。2009年3月現在で200以上のチームが加盟する。NCAは2007年、日本国内で活動する有志の民間および企業内シーサートにより、シーサートを支援するための活動の推進や、緊密な連携体制の構築などを目的として設立した。2009年3月現在では13チームが加盟している。

 このようなコミュニティーは、単なる情報収集の場として役立つだけではない。自社で発生したインシデントに関わる可能性がある企業や、ほかの事業者と連携してインシデントに対応しなければならないような場合にも、その存在は力強いものになる。

 例えば、自社サイトへの不審なアクセスを行っているアクセス元や、自社サイトをかたったフィッシングサイトがあるホストを管理している事業者へ対応や事実確認を求めたい場合、適切な連絡先が分からないことがある。多くの場合、相手とはセンシティブな情報をやり取りすることになるので、情報管理を適切に行っている「信頼できる相手」であることが望まれる。

 こうした場合に備え、加盟するには情報管理に関する審査と既存加盟チームによる推薦が必要になるFIRSTやNCAなどのようなコミュニティーへ参加することで、ほかの加盟チームとお互いに「信頼できる関係」を構築し、連携してインシデントに対応できるようになる。また、コミュニティーに加盟していない企業へコンタクトする場合、コンタクト先を付き合いのある加盟チームから信頼できる情報として提供してもらえることが期待できる。

 このほか、コミュニティーに加盟することで得られるメリットとしては、「技術的な質問をしやすい」という点もある。

 現在の複雑化したインシデントへの対応では、シーサートに技術的な分析や解析を行う機能とリソースがない場合、技術的な相談や質問を気軽にできる相手を見つけるのが難しい。また、それらを有するシーサートであっても、その能力には限界があるので複数の関連情報や分析結果と照らし合わせることで、より精度の高い情報を得られることを期待している。コミュニティー内のチーム間で相談や質問を含む関連情報を共有することで、結果的に精度が高く信頼性のある情報をお互いに得ることができ、より効率的にインシデントへ対応できるようになる。

 マニュアルでは対応し切れないインシデントへも柔軟に対応しなければならないという点においても、コミュニティーの存在は頼もしい。コミュニティーを介して、他チームのメンバーと頻繁に顔を合わせたり、情報を交換したりする中で築かれた「信頼のパイプ」を緊急時に活用できる。このことは、実際のインシデント対応の現場では珍しくない。まだインシデントであるか不確定な時点で、「ちょっと確認してもらえないか」といった信頼できる相手にしか頼めないことも、コミュニティーでは可能なことがある。

 このように、インシデント対応においてコミュニティーの存在は大きなものであることから、コミュニティーへの参画を前提にシーサートを構築するケースは少なくない。また、前回の記事で紹介したように、既存のインシデント対応体制をコミュニティーへの加盟要件を満たす形で再整備し、それを改めて「シーサート」と名付けているケースもある。

 本来シーサートとは、「企業におけるインシデント対応体制」とほぼ同義である。しかし、極端に言えばインシデント対応体制を何らかのシーサートコミュニティーへの加盟要件を満たすように整備したものがシーサートであり、コミュニティーへの参画によって初めて「シーサート」と呼ぶこともできるだろう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -