セキュリティインシデントに強い組織づくり 標的型攻撃を再点検する：ITmedia エンタープライズ ソリューションセミナー レポート（2/5 ページ）

[ITmedia]

CSIRTとは何か

　セキュリティインシデントへの対応で企業から注目されているのが、CSIRTだ。ランチセッションでは国内のCSIRTの実態と課題について日本シーサート協議会専門委員の山賀正人氏が紹介した。

日本シーサート協議会 専門委員 山賀正人氏

　実は、CSIRTには機能や役割によって複数の分類がある。企業で注目されるCSIRTは「組織内CSIRT」と呼ばれ、組織内部で発生するインシデントに対応する。他には国内外の協力関係にあるCSIRT間の連携・調整にあたる国際連携CSIRT（日本ではJPCERT/CC）、グループ企業間などの調整を行うコーディネーションセンター、分析機関、自社製品の脆弱性に対応するベンダーチームなどがある。

　CSIRTは必ずしも「部署」である必要は無く、組織におけるインシデントの予防、発生時の対応、事後対応の中核を担う「機能」であることもポイントだ。CSIRTの「T」はチームであり、CSIRTに関わるメンバーが一体感・連帯感を持ったチームとして活動できることが重要になる。また、CSIRTは対応の全てをCSIRTが単独で行うわけではなく、必要に応じて各種作業は内部の関連部署や外部の専門機関などの支援も活用することが多い。

　山賀氏は、CSIRTが備えるべき最低限の機能として、外部からインシデントの通報を受け付ける窓口を挙げる。標的型攻撃など巧妙な手口を使う脅威に当事者が気付けない実態があり、外部通報で発覚するケースが大半だといわれる。外部に対してはセキュリティの連絡窓口を分かりやすいようにしておく必要があり、CSIRTが通報を受け付け、適切な対応行動を迅速に始められるようにすることがポイントだ。

　インシデント発生時の対応でCSIRTには、特に経営層や業務部門などとIT部門との円滑な連携を支える調整機能が求められる。インシデントの状況によってはビジネスにも影響するため、経営層による意思決定が欠かせない。技術に詳しくない経営層が判断したり、説明したりできるよう、ビジネスと技術を橋渡しする “通訳者”である。

　山賀氏によれば、CSIRTは構築する以上に適切に機能する状態を維持していくことの方が難しいという。現在、日本シーサート協議会には100を超えるチームが加盟しており、CSIRTを維持・向上させていくためには、実は他のCSIRTと情報を共有できるような信頼関係を構築しておくこともポイントだ。

　セキュリティインシデントが企業の事業継続にも影響しかねない昨今、CSIRTは重要な機能といえる。その意味でCSIRTに完成形やゴールといった概念も無い。山賀氏は、まずできるところからCSIRTを始めて、より良い活動を持続していけるように取り組んでほしいと呼び掛けた。