セキュリティ事故に備える「CSIRT」構築術

「サイボウズ式」CSIRTの構築と機能を維持するポイントは何か?セキュリティインシデントに立ち向かう「CSIRT」(1/2 ページ)

クラウドやグループウェアでおなじみのサイボウズだが、CSIRTや脆弱性対策など様々な活動も積極的に展開している。CSIRTの構築やセキュリティインシデント対応での経験、機能する体制を維持していくためのヒントを聞いた。

» 2015年02月27日 09時45分 公開
[國谷武史,ITmedia]

小さく始めてコツコツと

 企業や組織で発生した様々なセキュリティインシデントの対応にあたる「CSIRT」を構築する動きが広がりつつある。その形態や構築の仕方、活動内容は組織の環境や状況に応じて様々だが、重要なポイントはCSIRTとしての機能を適切に維持していくことにあるようだ。

 クラウドサービスやグループウェアなどを手掛けるサイボウズは、脆弱性情報への報奨金制度をはじめセキュリティ対策にも積極的に取り組む。同社は2011年に「Cy-SIRT」を構築。その活動目的は、社内外の組織や専門家と協力してインシデント発生の予防と早期の検知、解決、被害の最小化を図ることで、同社の組織図には掲載されない部署横断型の“バーチャルチーム”ながら、数多くの経験を重ねてきた。

サイボウズ「Cy-SIRT」の伊藤彰嗣氏

 Cy-SIRTの事務局業務を担当するグローバル開発本部品質保証部の伊藤彰嗣氏は、「他社に比べるとやや特殊な経緯で設立されました」と話す。

 CSIRTの構築形態は様々だが、一般的には既にセキュリティ対策を担う情報システム部門(もしくは情報システム子会社など)を中心に、経営管理部門や業務部門などを加えたメンバーで構成される場合が多いようだ。

 一方、Cy-SIRTは2006年設立の「Product SIRT(PSIRT)」が母体になった。PSIRTは、社外から寄せられた同社製品に関するセキュリティ情報に対応するチームで、クラウドサービスの「cybozu.com」の提供開始に合わせてより広いセキュリティ問題に対応するべく、Cy-SIRTが誕生した。当初の活動目的はcybozu.comのサービスを顧客へ安全に提供することであり、社内向けのセキュリティ対応チームとは異なっていたという。

 「PSIRTの業務を広げていく形で、脆弱性情報の受付窓口をCy-SIRTに移管したり、社内に対してセキュリティ情報をCy-SIRTが取り扱うことを告知したりと、地道な活動からスタートしました。まず、自分たちの存在を社内に知ってもらう必要がありました」

 CSIRTを構築する場合、よく聞かれるのが職務や権限、指揮命令系統といった組織運営に関わる問題だ。各メンバーの役割や責任、メンバー間の連携プロセスや指揮命令系統が明確になっていないと、セキュリティインシデントへ適切に対応できなくなる。こうした点が曖昧なままでは、実施すべき作業が抜け落ちてしまったり、責任の押し付け合いといった事態が起きたりしてしまうためだ。

 伊藤氏によれば、Cy-SIRTの対応範囲が徐々に社内へも広がる過程で、やはりこうした点が議論になった。そこで、Cy-SIRTの最高責任者を兼務する運用本部長がCy-SIRTの役割を「インシデントの予防」「品質管理」「事後対応」の3つに再定義し、全社のセキュリティは「Cybouz Security Meeting(CSM)」という会議体が担う体制とした。Cy-SIRTで対応しきれないインシデント事案が発生した場合は、Cy-SIRTからCSMに引き継がれ、2つのチームが連携しながら対応する体制となっている。

Cy-SIRTの連携体制

 「Cy-SIRTが守るべき対象と役割が明確に定義されたことで、現在では足回りの軽いチームになりました。Cy-SIRTの範囲を超える事案は迅速にCSMへ移譲し、解決のために相互協力しています。こうした経験があったからこそ、今もCy-SIRTが生き残ることができたのだと思います」

 CSIRTの構築について伊藤氏は、小さく始めることが大切だと話す。そのためには、CSIRTが守るべき対象を明確にし、そのために必要な規模や権限、機能を整備する。万一CSIRTだけでは対応できない重大インシデントが発生した場合は、移譲先の体制や移譲方法なども決めておく。CSIRTの規模を拡大させていくにも、新たに加わる部署やメンバーとの連携方法や役割、権限などを明確に定義しておかないと、CSIRTが機能不全に陥ってしまうだろう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ