煩雑化するセキュリティインシデントの対応、企業で広がるCSIRTとは？：セキュリティインシデントに立ち向かう「CSIRT」（2/2 ページ）

[國谷武史，ITmedia]

急増する企業内CSIRTの構築

　CSIRTは、システムやネットワークに関するセキュリティインシデントが検知された際、原因や事態などを把握する調査や分析、復旧、被害抑止策や再発防止策の実施、組織内外の関係者との連携や調整といった一連の作業を担うための体制だ。

　CSIRTには、機能や役割、設置される組織状況などに応じて幾つの形態がある。例えば、インシデント対応で国を代表する窓口として国内外の調整役を担うのが「ナショナルCSIRT」だ。日本ではJPCERT コーディネーションセンターがこれにあたり、各国のナショナルCSIRTが参加する国際組織として「FIRST」（Forum of Incident Response and Security Teams）がある。また、セキュリティ研究機関やIT企業が顧客などへインシデント対応の機能をサービスとして提供するなどの目的からCSIRTを設置している。

　企業が社内に構築するCSIRT（以下、社内CSIRT）は、上述の機能を自社もしくはグループ内に持つなどの体制が一般的だ。システムやネットワークに関係することからIT部門を中心に、インシデントが発生した現場（業務部門など）や、広報や総務、経営管理などの部門も加わった全社横断型で構成されるケースが多い。なお、IT部門を中心とする既存の対応体制が存在する企業では、あえてCSIRTを呼称しない場合があり、一方で既存の体制を拡充して新たにCSIRTを呼称する場合もあるなど、社内CSIRTへの取り組みは企業によって様々だ。

　また、CSIRTがセキュリティインシデントに単独で対応できない場合もあり、複数のCSIRTが情報を共有したり、ノウハウなどを提供し合うなどの連携を図れるようにしている。実作業はインシデントが起きた組織のCSIRTが担うが、効果的に活動できるようにするにはCSIRT間の“つながり”も肝になる。

　NRIセキュアテクノロジーズが2015年1月に発表した「企業における情報セキュリティ実態調査 2014」によれば、CSIRTを「構築済み」とした企業は2013年（回答685社）の3.5％から、2014年（同660社）は7.3％に増加した。「類似機能をIT部門で実施」も15.5％から34.5％に上昇し、これらを合わせると19.0％から41.8％へと、1年で2.2倍に増えていることが分かった。

CSIRTの構築状況。すでに構築済みである及び類似機能を情報システム部門で実施を含む（NRIセキュアテクノロジーズより）

　CSIRTを構築する理由（複数回答）では「迅速に対応できる」（60.8％）や「組織として対応できる」（59.7％）、「対応フローが明確になる」（45.6％）などが挙げられ、セキュリティインシデントへ組織として適切に対応していこうという意識が読み取れる。

CSIRT構築企業の実情

　NRIセキュアでは社内CSIRTの形態を3つのタイプ――自社完結型・一部委託型・複合型――に分類している。調査での内訳は自社完結型が43.8％、一部委託型が27.1％、複合型が22.9％だった。

　自社完結型は、CSIRT機能のほぼ全てを自社内に持つ体制で、金融やIT業界に多いという。一部委託型は、CSIRT機能の多く自社内に持ちつつ、ログ分析など部分的な機能を外部に委託する体制だ。複合型はグループ企業に多く、持ち株会社が情報連携のハブ役を担いつつ、各種対応をグループ内の情報システム会社や事業会社が担う体制となる。

　CSIRTを構築済みとした7.3％（48社）のうち、「メンバー構成が兼任のみ」とした企業は75.0％、「自社リソースで検知と対応」とした企業は43.8％、「CSIRT活動が予算化され、十分な活動ができている」とした企業は27.1％だった。

　セキュリティインシデントの増加や実被害の高まりを背景に、CSIRTの必要性を認識する企業が増えているものの、現状ではインシデントによるリスクを最小化させるための体制作りは、まだ始まったばかりだ。