CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス：企業CSIRTの最前線（3/3 ページ）

[國谷武史，ITmedia]

構築・運用フェーズ

　自社のCSIRTをどうするかのという要件を定義することができれば、構築・運用フェーズにおける作業もそれに合わせて進めていきます。

　特にJPCERT/CCのCSIRTマテリアルでは「構築フェーズ」におけるドキュメントとして、CSIRTに持たせる役割や活動内容、人員、形態といったものから、CSIRTという存在を定義するまでのさまざまな内容が用意されています。各種作業の進めていく段階で参考になるでしょう。ただ、具体的に必要となる作業は、前項でも触れたように企業によって異なりますので、円滑に進める際にはベンダーやSIerなどのパートナーのサポートを活用していくことになります。

　また、現在のCSIRTに求められる大きな役割は、やはりインシデントが発生した際の対応を円滑にする機能にあります。CSIRTマテリアルの「運用フェーズ」ではインシデント対応においてCSIRTがどのように行動をしていくのか（インシデントハンドリング）を解説しています。

インシデントへの対応

　JPCERT/CCは主な活動の中で、実際にインシデントやその兆候を検知した場合に、当該企業や組織に対して連絡を行い、対応を促したり、初期対応を支援したりしています。

インシデント対応における基本的なフロー（JPCERT/CC資料より）

　2015年4月〜9月期にJPCERT/CCが対応を支援したインシデントのうち、特にマルウェアによる情報漏えいのような重大インシデントは66の組織で発生しました。その中で日本年金機構に対するサイバー攻撃と類似したインシデントは44の組織で発生しています。

　当該企業や組織へインシデントの可能性を通報するため、JPCERT/CCでは連絡窓口の設置を企業や組織に求めています。CSIRTにも連絡を受けて社内外と調整・対応する役割が求められており、最初に連絡を受けるところから対応までが速やかに進められる体制があれば、インシデントによる被害抑止にもつなげられる可能性が高まるでしょう。「特に初動対応においてCSIRTのある組織とない組織ではスピードがまったく違います」（村上氏）

　連絡手段にはメールを使うケースが大半です。窓口を設置するだけなく、その存在とともに分かりやすい連絡手段としてメールアドレスを周知しておくこともポイントになります。

　JPCERT/CCでは通報時に連絡窓口が見つからない場合、ドメイン情報サービス「Who is」に登録されているメールアドレスや担当者の名前を頼りにコンタクトを試みます。しかし、Who isに記載されている内容がドメイン登録時点のままであったり、人事異動などで担当者が変わってしまったりするケースも多く、JPCERT/CCがコンタクトしても返信がないこともあります。

　こうした状態ではインシデントへの対応がそもそもできず、被害につながったり、拡大したりする恐れがあります。連絡窓口の設置はもちろん、Who isの登録情報を更新することも含めて、インシデントの発生（兆候も）を把握できるようにしておくことが不可欠です。

　企業や組織がインシデントの発生を把握した後は、ログ分析調査といった具体的な行動に入ります。CSIRTを中心に外部の専門機関を交えた対応を進めていくことになりますが、自社でできる範囲、できない範囲を事前に把握しておき、できない範囲の作業は専門機関に委託するといった円滑な対応ができる準備もしておくことが求められます。

　サイバー攻撃など昨今のインシデントは複雑化や高度化しているため、その対応が難しくなりつつあります。上述のように外部の専門機関を活用しつつ、スピーディーに対応するには自社で対応できる作業範囲も広めていくことも必要でしょう。

　JPCERT/CCでもCSIRTマテリアルを改訂して、現在のサイバーリスクに即した内容に強化しています。また新たなドキュメントとして「高度サイバー攻撃への対処におけるログの活用と分析方法」を公開しており、企業や組織のインシデント対応能力の向上を支援する取り組みを広げています。CSIRTの設置やその強化に外部の知見を活用することも大切です。