サイバー攻撃
CSIRTとは?導入・運用するための4つのステップを解説
Written by Aimee
大手日系企業でのマーケティング職を経て、2022年にフリーランスに転身。
要件定義〜保守まで行うウェブデザイナー、ライターとして活動しています。タイ、チェンマイを拠点に旅暮らし中。
目 次
CSIRT(シーサート)とは
CSIRTの主な役割
CSIRTが必要な理由
CSIRTとSOCの違い
CSIRTとPSIRTの違い
CSIRTの種類
CSIRTを導入するときに意識したいポイント
CSIRTを組織に導入する流れ
CSIRTの設置は拡大、しかしセキュリティに不安がある組織が多い
「LANSCOPE サイバープロテクション」ではEDRの運用監視サービスを提供
まとめ
CSIRT(Computer Security Incident Response Team)とは、コンピューター・セキュリティ・インシデント対応チームと訳され、情報セキュリティに関連するインシデント(事故)への対応を主な業務とする専門組織です。
サイバー攻撃におけるセキュリティリスクが高まりをみせる現代、セキュリティインシデントへ素早く対応し、必要な対応を行うためCSIRTのような「セキュリティ組織」を社内に設置することは、企業にとって必須の課題となりつつあります。
▼この記事を要約すると
- CSIRTは、セキュリティインシデントに対処するための専門チームまたは組織
- 近年、サイバー攻撃の手口が巧妙化・悪質化しており、インシデント対応を外部とも連携しマネジメントする「CSIRT」の設置が必要に
- よく比較される「SOC」との違いとして、CSIRTはインシデント発生時~発生後の対応が主な目的、SOCはサイバー攻撃を監視・検知し未然に防ぐことを目的としている
- PSIRTとCSIRTの違いは、PSIRTは「製品やソフトウェア」の脆弱性・セキュリティインシデント対応に特化している点
- 自社にCSIRTを導入する場合、一般的には「1.社内の現状把握と情報収集」「2.CSIRT構築の計画案を作成」「3.CSIRTを構築し運用を開始」「4.運用状況をもとに改善」という流れで行う
- CSIRTを自社導入するには、人材確保・予算の確保・インシデントの定義づけ・対応範囲の策定といった課題を解決する必要がある
- CSIRTを設立するためのリソースがない企業の場合はアウトソーシングするのも一つの手
この記事では、CSIRTの概要や導入のメリットについて、わかりやすく解説いたします。
またLANSCOPEでは「アンチウイルスソフト」「EDR」「プロの運用監視サービス」をセットにした「Cylance GUARD」を提供しています。詳しくは以下ページをご覧ください。
CSIRT(シーサート)とは
CSIRTは、セキュリティインシデントへ速やか、かつ適切に対処するために設置される「セキュリティ分野の専門チームまたは組織」を指します。
セキュリティインシデントとは、セキュリティ上の脅威となる事件やトラブル(マルウェアの感染、不正アクセス、データ漏洩など)のことです。
CSIRTの重要な役割は「何らかのインシデントが発生した際のセキュリティマネジメント(インシデントレスポンス)」になります。事件発生時の窓口担当から痕跡の分析・調査・復旧に向けてのサポートまでを手掛けます。
またそれ以外に「システムの脆弱性の発見調査」や「従業員へのトレーニング/教育」など、被害の未然防止における業務まで、CSIRTが担う場合もあります。(この事前対処を「インシデントレディネス」といいます)。
デジタル化が進む現代、サイバー攻撃によるセキュリティインシデントの発生が後を絶ちません。
そのため企業や組織をサイバー攻撃から守り、対策を打つための戦略的なチームとして、今回のテーマとなる「CSIRT」や、同じくセキュリティの専門組織である「SOC」の社内構築に注目が集まっています(CSIRTとSOCの違いは以下の章で説明します)。
CSIRTの運用支援サービスは右肩上がりで増加傾向に
CSIRTの需要拡大に伴い、その構築や運用を支援するサービスの利用が、国内でも増加しています。
ITコンサルティング・調査会社「ITR」の調査によれば、国内のCSIRT構築運用支援サービス市場規模推移は、2016年から2022年まで右肩上がりで増加。2022年には売上金額113億円の市場規模へ到達するなど、市場は順調に拡大しています。
▼CSIRT構築運用支援サービス市場規模推移
出典:ITR|ITRがCSIRT構築運用支援サービス市場規模推移および予測を発表(2018.6.28)
セキュリティ組織の構築を行いたい一方、「体制作りに必要な知識や人的リソースが不足している」企業にとって、運用支援サービスは強力な味方です。
また経済産業省の公開する「サイバーセキュリティ経営ガイドライン」にて「CSIRT構築の必要性」が提示された背景もあり、セキュリティ監視・運用支援サービスの需要は、今後もますます高まっていくことが予想されます。
CSIRTの主な役割
組織のセキュリティ分野における「CSIRT」の役割には、下記のようなものがあります。
・事後対応(インシデントレスポンス)
・事前対応(インシデントレディネス)
・脆弱性の管理
・セキュリティ分野の啓発や教育
事後対応(インシデントレスポンス)
セキュリティインシデントが発生した際の「窓口」「分析調査」「対応」を担います。被害を最小限に抑え、システムの復旧を目指します。
まず第三者やシステムからインシデントの報告を受け、CSIRTが検知したインシデントの技術分析や対応・復旧・再発防止策の検討などを行います。
インシデント発生時、他のセキュリティ専門家や他部署を巻き込み、適切な調整や危機管理を行う役割は「情報セキュリティマネジメント」と呼ばれ、CSIRTの中で最も主となる役割の1つです。
事前対応(インシデントレディネス)
セキュリティインシデントが発生する前に、事前準備や対策を行う業務です。主な内容は「監視・検知・イベント分析」で、監視システムを用いて不審なインシデントを早期検知し、適切な初動対応を行います。
ただし、この業務分野を「SOC」のものとして区別するケースもあります。
CSIRTはインシデント対応で学んだ知見や経験を、再発防止対策や管理体制の見直しといった「事前対応」に活用し、さらに強固なセキュリティ体制を構築します。
脆弱性の管理
システムにおける「脆弱性」の発見や調査、分析など「脆弱性」における管理全般をCSIRTが担うケースもあります。
※脆弱性とは…システムやサイトにあるセキュリティ上の欠陥。しばしばサイバー攻撃に悪用される
第三者から受け取った「脆弱性」の情報、あるいはチームで発見した脆弱性情報を明らかにし、分析の上、適切な関係者へと連絡します。これにより既知の脆弱性へ速やかに対処したり、開発時も事前に脆弱性へ対策できたり、といったメリットを発揮します。
セキュリティ分野の啓発や教育
組織全体がセキュリティへの正しい知識を持ち、インシデント発生時に適切な対応を行うことは、被害の早期発見やインシデント発生数の減少に役立ちます。
セキュリティ関連部署への教育はもちろん、全社的に知識共有やインシデントを前提としたトレーニングを実施し、必要な知見を定着させることもCSIRTの役割です。
CSIRTが必要な理由
CSIRTが企業や組織で求められるようになった背景には
・以前に比べサイバー攻撃が増加・高度化し、どの企業も「サイバー攻撃の標的となる」のが当然な世の中になったこと
・結果、インシデントの発生を前提としたセキュリティ体制の構築と組織のセキュリティにおける司令塔の役割が必要になったこと
があげられます。
CSIRTを設置することで、これまで社内をはじめ対外的にも「どこへ相談すべきか」が不明瞭だった、インシデントや脆弱性対策に関する相談の窓口が整備されます。技術的な依頼をしたい相談者が、たらいまわしにされず、速やかに問題へ対処できるのはCSIRT設置の大きなメリットです。
またCSIRTを設置することで、脆弱性やインシデントに関する有益な情報を、協力企業やパートナー会社のセキュリティ部門と共有しあい、自社のセキュリティへ活用することも可能となります。
国内のセキュリティインシデント報告件数は増加傾向に
CSIRTの需要が高まる理由の1つに、セキュリティインシデントの報告件数そのものが増加していることもあげられます。
国内外で発生するセキュリティインシデントの報告を受け付ける「一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)」が2023年4月に公表した「インシデント報告対応レポート」によると、2022年度の日本国内からのインシデントに関する報告件数は53,921件で、前年度の50,801件と比べて6%増加しました。
過去5年間の推移をみても、インシデントの報告件数が常に増加していることがわかります。
出典:JPCERT/CC│インシデント報告対応レポート(2023年4月18日)
組織のセキュリティを強化するためには、迅速な対応と適切な対策が必要です。CSIRTを設置することで、セキュリティインシデントに効果的に対処し、被害を最小限に抑えることが重要と言えるでしょう。
CSIRTとSOCの違い
先述の通り、CSIRTとしばしば比較されるセキュリティ組織に「SOC(ソック)」があります。
SOC(Security Operations Center)とは、組織のシステムやネットワークを24時間365日監視し、セキュリティインシデントの検知・分析を担当するセキュリティ部門を指します。
ともセキュリティインシデントの対応を専門とする組織ですが、CSIRTがインシデントが実際に発生した際の対応を主に担うのに対し、SOCはシステムやネットワークを常に監視し、いち早く異常を検知・分析してインシデントに対処することが主な役割です。
CSIRT | ・セキュリティインシデント発生時~発生後の「対応」「復旧」「対策」を担当 | SOC | ・セキュリティインシデント発生前~発生時の「監視」「検知」「分析」を担当 |
---|
サイバー攻撃を未然に防ぐことを目的とするSOCと、サイバー攻撃を受けた場合に対処することを目的としたCSIRTは、組織のセキュリティにおいて補完的な役割を果たします。
例えば、SOCがシステムを監視し、不審な挙動を検知したら速やかに「対策すべき脅威であるか」を分析。必要に応じてCSIRTへとエスカレーションし、CSIRT側がインシデントの対応や復旧・再発防止策の策定などを行う、という具合です。
またCSIRTよりSOC側に、原因調査や再発防止策の策定に必要な、ログ解析や調査を追加で依頼するケースもあります。両者が適切に機能し、連携することで、より強固なセキュリティ体制を構築することができるでしょう。
SOCの役割については以下の記事で詳しく解説しています、ぜひあわせてご覧ください。
CSIRTとPSIRTの違い
PSIRT(Product Security Incident Response Team)とは、自社で提供・開発した「製品やソフトウェア」の脆弱性・セキュリティインシデントに対応し、それらの問題を適切に解決する専門的な組織を指します。
「PSIRT」も度々、CSIRTと比較される単語ですが、両者の違いはセキュリティ対策を行う「対象」です。ともに自社のセキュリティインシデントに対応する組織ですが、PSIRTは中でも「製品やソフトウェア」を対象に、脆弱性やセキュリティインシデントへ対応します。
CSIRT |
・自社のセキュリティインシデントに対応 ・インシデント発生後の対応が主な業務 |
PSIRT | ・自社製品・ソフトウェアの脆弱性対策やインシデントに対応 ・リリース前の脆弱性確認から出荷後のインシデント対応まで担う |
---|
またPSIRTでは「製品」や「ソフトウェア」が対象となるため、連携先が多く、担当部署も「開発部門」や「品質管理部門」などになるという違いがあります。
CSIRTの種類
CSIRTは、対応内容や性質によって以下のように分類されており、社員を中心に自社構築するCSIRT組織は「Internal CSIRT」が該当します。
ここでは主なCSIRTの種類についてご紹介します。
名称 | 業務内容 |
---|---|
Internal CSIRT | 自社もしくはクライアントに関するインシデントへ対応するCSIRT。 CSIRTの中で最も多く用いられる手法の1つ。 |
National CSIRT | 国や地域全体に関するインシデントに対応するCSIRT。 日本の場合、JPCER/CC(JPCERTコーディネーションセンター)が該当する。 |
Vendor Team | 自社製品の脆弱性に対応するCSIRT。 自社の製品に関するインシデントに対処し、脆弱性の報告と修正を行う。 |
Coordination Center | 報告されたインシデントに対応できるCSIRTを探すなど、ほかのCSIRTと連携しながらインシデント対応の調整をはかるCSIRT。 |
Incident Response Provider | 何かしらの理由で企業がCSIRTを設置できない場合に、その企業にかわってインシデントの対応を行うCSIRT。 いわゆるセキュリティベンダー。 |
Analysis Center | インシデントを詳細に分析し、その深刻度を評価するCSIRT。 脅威情報の収集と分析により、新たな脅威のトレンドや攻撃手法を把握し、他のCSIRTに共有する。 |
CSIRTを導入するときに意識したいポイント
CSIRTを導入する際は、以下のポイントを意識するようにしましょう。
1.経営陣からの理解を得る
2.社風に合わせて構築する
3.方向性や目的を明確化する
4.活動範囲を決める
5.外部組織と連携する
一つずつ解説していきます。
1.経営陣からの理解を得る
CSIRTの設置は企業全体で取り組む必要があるため、経営陣や意思決定者からの理解を得ることが必要不可欠です。自社にはどのようなセキュリティ課題があり、CSIRTを導入することで課題がどのように解決できるか、導入メリットを明示します。
2.社風に合わせて構築する
組織の社風や文化に合致したCSIRTを構築することで、CSIRTのメンバーが組織の価値観や運用スタイルに適応しやすくなります。
3.活動範囲を決める
自社CSIRTの「活動範囲」「業務内容」をあらかじめ決めておくことで、CSIRTの役割と価値が明確になり、他部署との役割分担や連携内容も明らかになります。
活動範囲が広すぎると対応業務が膨大になり、迅速な対応できなくなってしまうので、確保できる予算や人材などに合わせて、具体的な業務内容や活動範囲を検討しましょう。
4.外部組織と連携する
外部組織との連携はCSIRTの活動の成功に不可欠であり、セキュリティインシデントに対する迅速な対応と情報共有を強化します。
業界団体、他企業のCSIRT、セキュリティベンダーなど、さまざまな外部組織と連携し、インシデントの情報収集やリスクヘッジが速やかに行えるコミュニティ構築を行います。
CSIRTを組織に導入する流れ
自社にCSIRTを導入し運用までを行う場合、以下のような流れで進めるのが一般的です。
Step1.社内の現状把握と情報収集
Step2.CSIRT構築の計画案を作成
Step3.CSIRTを構築し、運用を開始
Step4.運用状況をもとに改善
4つのステップについて解説します。
Step1.社内の現状把握と情報収集
最初のステップは、企業内のセキュリティ体制を評価することです。
セキュリティインシデントの過去の履歴、セキュリティポリシー、リスク評価などに関する情報収集を行い、社内のセキュリティにおける問題点や課題を特定します。
Step2.CSIRT構築の計画案を作成
社内のセキュリティにおける問題点・課題を洗い出したら、CSIRTの設置と運用の計画案を策定します。
具体的な業務内容、担当者、予算、必要なツールやリソース、インシデント対応手順、連絡先情報、スケジュールを含みましょう。緻密な計画案の作成は、企業内での承認を得るために非常に重要です。
また、このステップでCSIRTの方向性をしっかり定めることが重要です。
Step3.CSIRTを構築し、運用を開始
計画案が経営陣や意思決定者に承認されたら、CSIRTの構築に取り掛かります。社内の様々な部門と調整を行い、場合によっては必要な人的リソースを導入して、運用を開始します。
運用開始後は企業内で積極的にCSIRTの存在をアピールしましょう。インシデント発生時にどこに相談・連絡すればよいのかを社員が把握することができます。
Step4.運用状況をもとに改善
CSIRTが運用を開始したら、その効果を継続的に評価し、改善の余地を見つけます。
セキュリティインシデントの対応プロセスやツールの性能を分析し、必要に応じて変更やアップグレードを行います。経験を活かしてCSIRTの能力を向上させ、セキュリティレベルを維持または向上させましょう。
上記の4つのステップを踏むことで、企業はCSIRTを効果的に構築し、セキュリティインシデントへの対応力を向上することができます。
CSIRTの設置は拡大、しかしセキュリティに不安がある組織が多い
ここまでお話しした通り「CSIRT」のニーズは日々高まり、実際に組織内でCSIRTを設置する組織も増加しています。その一方、CSIRTの設置は行ったものの「インシデントへの対応」には、不安を抱く企業が多いことも事実です。
Gartner社が2023年2月、日本国内の「従業員300人以上の組織」を対象に実施した調査によると、企業のうち56%が「CSIRTを設置している」と回答しましたが、そのうち67%が迅速なインシデント対応を実施することに「自信が無い」と回答しています。
▼CSIRTの設置状況とインシデント発生時のレスポンスへの自信について
出典:Gartner|Gartner、インシデント・レスポンスの強化に向けて企業が押さえておくべき重要事項を発表(2023年7月20日)
つまり多くの企業が自社にCSIRTを設置しながらも、肝心の「セキュリティインシデントへの対応」には、不安を抱いていることが伺えます。
CSIRTをアウトソースするのも1つの手
CSIRTをはじめSOCなどセキュリティ組織を「自社で設立するだけのリソースがない」「知識や経験のある人材がいない」という企業であれば、それらをアウトソースするのも有効な手段です。
CSIRTの役割を外部に委託することで、企業は自社リソースを割かずに、高度なセキュリティ対策を実現することができるためです。また情報システム部がセキュリティ分野を兼任している会社などであれば、CSIRTを外注することで、本来の業務だけに集中して取り組むことも可能となります。
企業は自社の現状や予算を考慮し、自社設置・アウトソースのどちらが自社のセキュリティ要件に最適なのか検討しましょう。
「LANSCOPE サイバープロテクション」ではEDRの運用監視サービスを提供
「CSIRTとSOCの違い」でも述べた通り、CSIRTはインシデント発生後の対応が主な役割となるため、インシデントの監視・検知を担う「SOC」との連携が必要不可欠です。
LANSCOPE サイバープロテクションでは、お客様のPCやサーバ環境を24時間365日監視し異常を検知する、アウトソース型のSOC(MDR)サービス「CylanceMDR」を提供しています。
「Cylance GUARD」は、脅威の侵入をブロックする「AIアンチウイルス」+侵入後の脅威を検知し対処する「EDR」の2種類のソリューションを、セキュリティのスペシャリストが運用。お客様のエンドポイント環境を、あらゆる最新の脅威から守り抜きます。
つまり「高度なエンドポイントセキュリティ製品」と、それら製品の「監視・運用サービス」を、セットで提供するのが「CylanceMDR」です。
弊社のスペシャリストによる徹底したアラート管理により、お客様に本当に必要なアラートのみを厳選して通知するので、不要なアラート対応がありません。緊急時もお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし安心して本来の仕事へ集中していただけます。
平均応答時間9分という素早さで対応するため、「緊急で専門スタッフに相談したい」インシデント発生時も安心です。
さらにスタッフは全員、サイバーセキュリティの修士号を取得しているため、安心してお客様のセキュリティ対応をお任せいただけます。詳しくは以下の製品ページをご覧ください。
まとめ
本記事では「CSIRT」をテーマに、その概要や機能について解説しました。
サイバー攻撃が高度化する昨今、より複雑なセキュリティインシデントへ対応するためにも組織における「CSIRT」や「SOC」の設置は急務の課題と言えるでしょう。改めて自社のセキュリティ体制やリソース・課題を見直し、必要に応じて設置を検討することがおすすめです。
またLANSCOPEでは「アンチウイルスソフト」「EDR」「プロの運用監視サービス」をセットにした「Cylance GUARD」を提供しています。詳しくは以下ページをご覧ください。
関連する記事