サイバー攻撃をはじめとする情報セキュリティのインシデント対策として「CSIRT」の導入が注目されています。歴史的背景もひもときながら、CSIRTについて解説します。
カップめんを待つ間に、電車の待ち時間に、歯磨きしている間に“いまさら聞けない”ITトレンドが分かっちゃう! 今さら聞けないITの最新トレンドやビジネス戦略を、体系的に整理して分かりやすく解説する連載です。「この用語、案外、分かっているようで分かっていないかも」「IT用語を現場の社員にもっと分かりやすく説明できるようになりたい」――。情シスの皆さんのこんな課題を解決します。
「標的型攻撃」や「リスト型攻撃」などのサイバー攻撃は、巧妙化の度合いを増しています。そのため、どんなに堅牢に防御しても、セキュリティ事故(セキュリティインシデント)を完全に防ぐことはできません。
そこで、「インシデントは必ず起きるもの」という前提で対応体制を構築し、備えておくことが求められています。このような情報セキュリティ対応の中核を担うのが「CSIRT(Computer Security Incident Response Team、シーサート)」です。
CSIRTは、自社へのサイバー攻撃を検知し、セキュリティ事故が発生すれば直ちに緊急対応します。インシデントに対応する“火消し役”と考えると分かりやすいかもしれません。主な役割は次の3点です。
インシデントに対抗するためには、セキュリティ対策を施したシステムの構築や運用管理、セキュリティに関する啓発活動や制度上の整備などが不可欠です。しかし、対策に完全はあり得ません。そのため、インシデントが発生すれば直ちにそれを検知して対策を講じる体制として、CSIRTが必要になるのです。
CSIRTは、恒常的な部門として組織されることもあります。しかし、そのための要員やスキルを維持し続けることは容易なことではありません。そこで、必要に応じて招集される組織とする場合もあります。前者は“消防署”、後者は“消防団”のような組織に例えると分かりやすいかもしれません。
また、社内の要員だけでは、日々高度化・巧妙化するサイバー攻撃に対抗することは困難です。そこで、セキュリティ対策を専門とする企業や、セキュリティ情報を共有あるいは支援してくれる外部組織との連携も必要です。
CSIRTの歴史は古く、インターネット黎明期の1988年、アメリカで甚大な被害を与えたマルウェア「Morris worm」対策のため、情報共有や組織間連携をする必要性が高まり、その連絡・調整を担う組織として「CERT/CC(Computer Emergency Response Team / Coordination Center)」という組織が、米カーネギーメロン大学内に設置されました。これが世界で最初のCSIRTといわれています。
その後、世界各国で同様のCSIRTがつくられるようになり、各国のCSIRTをまとめ、他国との情報の収集や共有を行うための世界的な非営利組織「FIRST(Forum of Incident Response and Security Teams)」が、1990年に設立されました。1996年、我が国でも「JPCERT/CC」という組織が設立され、インシデント情報の共有、対策の研究やガイドラインの作成、取り組みについての啓発などが行われています。
セキュリティインシデントは、増え続けています。この現実から逃れる術はありません。この事態に対応するために、企業はCSIRTを設置し、適切に機能させることで、たとえインシデントが発生しても被害を最小限に食い止め、再発防止にも貢献することが求められているのです。
日本IBMで営業として大手電気・電子製造業の顧客を担当。1995年に日本IBMを退職し、次代のITビジネス開発と人材育成を支援するネットコマースを設立。代表取締役に就任し、現在に至る。詳しいプロフィルはこちら。最新テクノロジーやビジネスの動向をまとめたプレゼンテーションデータをロイヤリティーフリーで提供する「ITビジネス・プレゼンテーション・ライブラリー/LiBRA」はこちら。
Copyright © ITmedia, Inc. All Rights Reserved.