セキュリティ事故に備える「CSIRT」構築術

煩雑化するセキュリティインシデントの対応、企業で広がるCSIRTとは?セキュリティインシデントに立ち向かう「CSIRT」(1/2 ページ)

近年はウイルス感染やサイバー攻撃などのセキュリティインシデントが増加し、対策製品だけでは防ぎきれない状況だ。そこで万一の時には、組織的な対応で被害抑止につなげるアプローチが注目されつつある。企業で取り組みが広がる「CSIRT」とはどのようなものか。

» 2015年02月23日 08時00分 公開
[國谷武史,ITmedia]

対応が煩雑なセキュリティインシデント

 コンピュータウイルスや不正アクセス、サイバー攻撃など企業や組織の情報システムに影響を与えるセキュリティインシデントは、近年増加傾向にあるといわれる。いざインシデントが発生すれば、IT部門を中心に調査や分析、復旧などの対応が行われるが、その作業は煩雑なものだ。

 情報処理推進機構(IPA)の「情報セキュリティ事象被害状況調査」によると、外部要因のセキュリティインシデントにあたるウイルス感染やサイバー攻撃によって業務の遂行上重要なサーバ(電子商取引のためのサーバを除く)が停止した割合(回答企業368社)は12.0%に上る。

 停止時間では24時間未満が7.1%、24時間から3日未満が1.1%、3日から6日未満が1.1%などだった。サーバの停止から取引の中断に至った割合は5.7%だが、「わからない」が11.4%に上っている。一方、電子商取引のためのサーバが停止したケース(回答129社)は7.0%あり、停止時間では「4時間未満」が3.1%で最多だった。

 情報管理部門が復旧作業に要した時間(回答368社)は、「4時間未満」が26.6%と最も多いが、「4〜8時間未満」では22.6%、「8〜24時間未満」で12.7%、「24時間〜3日未満」で12.2%と、作業に多くの時間を費やしている実態が分かる。復旧作業で代替機の購入や業務の外部委託などに要した費用は「0円」が8割以上であり、ほとんどの企業が社内リソースのみで取り組んでいるようだ。

 また、復旧作業以外に発生した作業では「原因や影響範囲を把握するための調査」(67.9%)や「サーバやPCの再インストール・設定」(47.1%)など内部作業が中心となるものの、「代替設備・サービスなどの手配」(7.9%)や「問合わ窓口の設置」(6.8%)、「取引先・顧客などへの謝罪」(3.3%)など外部対応が必要だった企業もある。

セキュリティインシデントにおける復旧以外の対応作業の内容(IPAより)

 これらの復旧以外の作業に要した時間は、概ね「4時間未満」の場合が多いものの、「取引先・顧客などへの謝罪」では「4〜8時間未満」が25.0%と最も多い。インシデントによる間接的な被害については、「受けていない」(91.6%)とした企業が大多数だが、「顧客の減少や指名停止を受けた」が0.8%、「ネットでの中傷や流言」が0.5%あった。

日本企業はインシデント対応が不十分?

 IPAの調査からは、多くの企業が社内リソースを活用してセキュリティインシデントによる被害を迅速に食い止めている様子がうかがえる。ただ、インシデントには内部犯行やPCの盗難・紛失などの事象も含まれる。こうした場合では対応がより煩雑になったり、長期化したりするなどの事態に直面することもある。顧客や取引先など外部関係者への謝罪や告知といった直接的な損失が発生するほか、誹謗中傷などの間接的な損失も被りかねない。

 プライスウォーターハウスクーパース(PwC)が2014年に世界154カ国で実施した「グローバル情報セキュリティ調査2015」によれば、2014年は1社あたりのセキュリティインデントの平均件数が前年比32%増の4948件、同年間の平均損害額も34%増の2億7200億円で、企業にとってセキュリティインデントのリスクが高まっていることが分かった。

 また、PwCの調査では企業の情報セキュリティ体制についても世界と日本で違いがみられる。「役員クラスのリーダーがいる」とした企業は、世界平均では64%だが、日本では41%だった。セキュリティ機器などのログ分析などツールによってインシデントが発覚したケースは、世界平均では17〜25%(ツールごとの数値)に上るが、日本では3〜6%にとどまる。

情報セキュリティに関する役員クラスのリーダーの有無(PwCより)

 この調査で同社は、日本企業のセキュリティ対策が「防御中心」だと指摘する。情報セキュリティの要素ごとに比較してみると、日本企業はネットワークファイアウォールやマルウェア対策ツールの導入に偏り、情報連携やインシデント対応体制の構築は世界平均よりも低い傾向にあった。

 IPAやPwCの調査結果をみると、日本企業におけるセキュリティインシデントの対応は、既存のツールを利用した現場中心型だと言えそうだ。今後インシデントが増加すれば対応が間に合わず、大きな被害につながるケースが増えていく恐れもある。そこで、こうした実態に危機感を抱く企業を中心に「コンピュータ・セキュリティ・インシデント・レスポンス・チーム」(CSIRT)と呼ばれる体制を社内に構築する動きが広がっている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ