セキュリティに関する問題や脅威は、現代のビジネスにおいて重大な懸念事項です。特に情報セキュリティの確保は欠かせません。

そこで登場するのが「CSIRT」です。CSIRTは組織内でセキュリティインシデントに対処し、迅速かつ適切な対応を行う役割を果たします。

しかし、効果的なCSIRTの構築には注意が必要です。本記事では、CSIRTの役割と共に、効果的な構築のための4つの注意点を解説します。CSIRTの役割や構築における注意点を理解することで、より堅牢なセキュリティ体制を築くための手助けとなるでしょう。ぜひ最後までお読みください。

CSIRTとは

CSIRT(Computer Security Incident Response Team)とは、セキュリティ上の問題として捉えられる事象であるインシデント、またインシデントにつながりかねない事象に対応するチームのことです。CSIRTという名前が広がる前には、CSIRCという呼称が使われていた事もあります。CSIRTは、組織内でセキュリティインシデントに対処し、迅速かつ適切な対応を行う役割を果たします。主な業務としては、脆弱性情報などの収集と分析、インシデント発生時の対応、社内外の組織との情報共有や連携などが挙げられます。

CSIRTは、セキュリティインシデントに対処することで、組織や企業の情報資産を保護し、機密性や可用性、完全性を確保する役割を果たしています。CSIRTの存在は、組織のセキュリティ体制の一環として重要であり、セキュリティリスクに備える上で欠かせない存在となっています。

CSIRTの役割とは

CSIRTの役割について、インシデント発生前と発生後に分けて見ていきましょう。

インシデント発生前の役割

CSIRTの役割は、インシデント発生前においても重要です。

CSIRTは、企業内に強固なセキュリティ体制を構築し、ネットワークやシステムの異常を迅速に検知することでセキュリティインシデントの発生を防止します。CSIRTは脆弱性の監視や情報収集、セキュリティ対策の計画立案などを行い、予防的なセキュリティ対策を実施します。

また、平時から他部署とのコミュニケーションを図っておくことも重要です。

インシデント発生後の役割

CSIRTのもう一つの重要な役割は、インシデント発生後の対応です。インシデント対応は、インシデントや脆弱性の情報を受け取る事からはじまります。IDS・IPSで検知することや、外部コミュニティーであるFIRSTやNCAといったところからの情報もあります。

CSIRTは、インシデントハンドリングと呼ばれる一連の処理を行い、事態の解決や被害の最小化に導きます。これには、迅速な対応と復旧作業、インシデントの原因究明、情報の共有や連携などが含まれます。CSIRTは専門知識や経験を活かし、被害を最小限に抑えるための適切な処置を行います。

また、インシデントを解決して終了ではなく、経験したインデントを通じて組織全体のセキュリティ対策やポリシーの見直しにつなげていくことも重要です。

さらに、有事ではシステム運用者や開発者と経営層との間に立ち、いわば通訳として経営層に対し技術上の説明を行う事も重要な役割です。

CSIRTを構築する手順

CSIRTを構築する手順は以下の通りです。

①社内の問題点・課題を洗い出す

CSIRTを構築するためには、まず社内のセキュリティに関する問題点や課題を洗い出すことが重要です。

何を守るべきか、そして、何を優先的に回復させるべきかについて、企業としての共通認識を確認しておくことが必要です。これは「サイバーレジリエンス」という考え方の一つで様々な脅威によってシステムダウンなどの不測の事態が発生しても、組織の機能を維持し速やかにビジネスを回復できる力を平時から構築すべきです。この発想はBCP(事業継続計画)やBCM(事業継続マネジメント)にも通じます。

セキュリティインシデントが発生しやすい箇所やセキュリティリスクが高いシステムやプロセスを特定し、改善の必要性を把握します。これにより、CSIRTが取り組むべき重要な課題を明確にすることができます。

②CSIRT構築の計画を策定する

次に、CSIRTの構築計画を策定します。

これには、チームの役割や責任、運用プロセス、情報共有の手段、連絡先の整備などが含まれます。CSIRTの目標となるセキュリティインシデントへの迅速な対応や情報共有を実現するために、適切な計画を立てることが重要です。また、予算やリソースの確保も検討しましょう。

構築の計画を策定する際には経済産業省から出されているサイバーセキュリティ経営ガイドラインVer3などにも目を通しておく必要があります。

また、構築する際に必要な知識の一つとしてマネジメントに関する基本的な知識も必要となってきます。なにか起こった時に動く人達ではなく、経営事案でもあるサイバーセキュリティを担うCSIRTは平時でも会社組織の一部として機能しなければなりません。

そして、法律についても知っておくべきです。詳細に法律を知っておく必要はありませんが、このような法律があるのか、こんな判例があるのか、といった程度に構築の段階で知っておくと運用時にも役に立ちます。CSIRTを運用しながらでも刑事法、民事法、マイナンバー法などを整理して理解しておくと良いでしょう。

構築のポイントは以下の通りです。

・経営層にCSIRTを認知させる

・守るべき情報資産を把握し課題を探る

・組織におけるインシデントを想定する

・ミッションを定義する

・サービスを定義する

・活動範囲を定義する

・必要な文書・規定類を整理する

・活動のためのいリソースを確保する

・CSIRT構築後の活動

③CSIRTの運用を開始する

計画が策定されたら、CSIRTの運用を開始します。

チームメンバーの役割や連絡手順を明確にし、インシデントの監視や検知、対応活動を実施します。適切なツールやシステムを導入し、情報の収集や分析、共有を円滑に行うことが必要です。CSIRTのメンバーは常にセキュリティ情報やトレンドに対してアップデートされるようにし、迅速かつ効果的な運用を実現します。

何かインシデントが起きて行動するのではなく、CSIRT自身で積極的にインシデントを探し、対処する活動が大切です。

また、組織としてサイバーセキュリティ対応能力を高めていくには、軽装の理解や他部署の協力は欠かせないので常に他部署との交流、時には交渉が必要な事もあるので相手の利益も意識して認識する事も重要です。

④定期的に運用状況を振り返る

CSIRTの運用は継続的なプロセスです。定期的に運用状況を振り返り、改善点や課題を洗い出します。

運用の効率性や対応力を向上させるために、チームの活動を評価し、必要な修正や改善を行います。セキュリティの脅威は日々進化しているため、CSIRTも常に改善と進化を続ける必要があります。

また、CSIRTを継続的によりよく運用していくためには、インシデントから学習したことや経験など、チームとしてナレッジを蓄積して、伝承していくことも大切です。

CSIRTの構築にかかる費用

CSIRTの構築には、人件費やコンサルティング費用がかかります。

一般的には、3〜5名程度の人員で構築することが多く、専属の場合は年間で1000-1500万円程度の人件費がかかることになります。ただし、多くの企業では兼務の形態でCSIRTを運用しているため、人件費が直接的な構築費用として計上されるわけではありません。

また、CSIRTの構築には外部のコンサルティングサービスを利用することもあります。例えば、弊社アスエイト・アドバイザリーではCSIRT体制の構築に関するコンサルティング費用として、月額約30万円をいただいております。

相談を受けてからアセスメントを行い、PDCAサイクルを構築するまでの期間は通常は3〜6ヶ月です。そこから実際にPDCAを回しながら、その時々に適したセキュリティシステムを年単位で運用します。

CSIRTの構築にかかる費用は、企業の規模や要件によって異なる場合があります。適切な人員配置とコンサルティングサービスの活用により、効果的なCSIRTの構築を行いましょう。

CSIRT構築にあたっての注意点

CSIRT構築にあたっての注意点について解説します。

インシデントの定義づけをする

CSIRTを構築する際には、まずインシデントの定義を明確にすることが重要です。

インシデントとは、セキュリティ上の問題として捉えられる事象のことを指します。CSIRTのメンバーがどのような事象をインシデントとみなし、それに対応するのかを明確に定義することで、適切な対応が行えるようになります。

CSIRTの目的・範囲を明確にする

CSIRTの構築にあたっては、その目的と範囲を明確に定めることが重要です。CSIRTの目的は、インシデントへの対応やセキュリティリスクの管理など様々な要素があります。また、CSIRTが担当する範囲も明確に定めることで、チームの役割や責任範囲が明確になり、効率的な活動が行えるようになります。

インシデント発生時の連絡先を整理する

インシデントが発生した際には、迅速な対応が求められます。そのためには、インシデント発生時の連絡先を事前に整理しておくことが重要です。

関係者や関連部署の連絡先を明確にし、チーム内や他の関係者との連携をスムーズに行える体制を整えましょう。

セキュリティ人材を確保する

CSIRTの構築には、適切なセキュリティ人材の確保が必要です。

セキュリティに関する専門知識や経験を持ったメンバーを選定し、チームの能力を高めることが重要です。また、セキュリティ人材の継続的な教育やトレーニングを行うことで、最新の脅威や対策に対応できる能力を維持しましょう。

まとめ

CSIRTの構築は企業において重要なセキュリティ対策の一環です。しかし、中小企業では予算の制約や人材配置の課題があり、構築が難しい場合も多いでしょう。

そこで、アスエイト・アドバイザリーでは、CSIRTの最小構成を提案し、リーズナブルかつ効果的な運用を実現します。

最小構成としては、決済者としての役員、管理者としてのアスエイトアドバイザリー、そして実務担当者からなるチームを編成します。客観的な目線を持ちつつ、実務担当者や役員の異動・急な退職などにも柔軟に対応可能であるのが大きなメリットです。

また、アスエイト・アドバイザリーにお任せいただければ、追加の人件費をかけることなく、月額30万円というリーズナブルかつ安心したCSIRTの構築と運用が可能です。(※組織規模やコンサル内容によって費用は変動する場合がございます)我々はセキュリティ分野での豊富な経験と知識を持ち、お客様のニーズに合わせた柔軟なサポートを提供しています。

CSIRT構築においては、アスエイト・アドバイザリーにお任せいただければ、効果的なセキュリティ対策の実現とコストの最適化が期待できます。安心して運用を進めるために、ぜひ弊社の専門知識と経験をご活用ください。

アスエイト・アドバイザリー 公式サイト