CSIRT

導入

CSIRTComputer Security Incident Response Team、シーサート)とは、コンピュータネットワーク(特にインターネット)上で何らかの問題(主にセキュリティ上の問題)が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行ったりする組織の総称。

CSIRT以外にCIRT(Cyber Incident Response Team)という略称が使われることもある。


昨今のサイバー攻撃による被害の増加に伴い、コンピュータセキュリティインシデントに対応するための専門チームであるCSIRT(Computer Security Incident Response Team)を企業や組織内に設置するケースが増えています。しかし、CSIRTには「標準規格」のようなものがないこともあり、CSIRTについて正しく理解されておらず、結果的に「使い物にならないCSIRT」が構築されてしまっていることがままあります。そこで今回から2回に渡り、CSIRTとは何であり、どのように構築すればよいのかを解説します。今回はまずCSIRTとは何かについて世の中によくある誤解を解きながら紹介します。


システムの脆弱性を突いた不正アクセスやマルウェア感染、標的型攻撃による情報漏えいやシステム破壊などは後を絶たず、脅威のレベルも年々増大する傾向にある。これを情報システム部門ですべて対応するには限界がある。このような現状において、今大きく注目されているのが、インスデントに対処するための組織、CSIRT(Computer Security Incident Response Team)だ。CSIRTを自社内に設置すると、他企業、他組織と連携しながらインシデントに効果的に対応できるようにする体制・仕組みが構築できる。このCSIRTの詳細と構築・運用方法について詳しく見ていくことにしよう(監修協力:日本シーサート協議会)。


CSIRTというフレーズを聞く機会がここ数年増えたのではないでしょうか?

金融業界や大手企業に限らず、今や業界や企業規模を問わずセキュリティ対策が重要視されています。インターネットで大抵のものが購入できる時代であり、裏を返せば犯罪者グループからクレジットカード情報や個人情報を狙われやすい環境にあると言えます。脆弱性対応が不十分なWebサイトでは、その脆弱性を狙った攻撃や、サイトの情報を改ざんするなど様々なサイバー攻撃の危険に晒されていると言えるでしょう。

セキュリティ事故が発生するとサービス継続・復旧や法的な対応に追われるなど人的コストは計り知れませんし、賠償や企業イメージの低下などを考えるとセキュリティ対策は避けられません。そして、サイバー攻撃の手法は日々進化し、新しい対策をしてもすぐに対応し切れなくなっているのが現状なのです。

従って、事故が発生する前提で体制を作ることが求められるようになり、CSIRTが注目されるようになりました。

本記事ではCSIRTとはいったい何か、セキュリティ事故への対応力をどのように向上させれば良いのか紹介します。


企業におけるセキュリティ対策の重要性が高まっている。重要なデータや金銭を狙う標的型攻撃もますます巧妙化してきている。一方で従業員による内部犯行にも目を光らせる必要がある。セキュリティ対策をめぐる環境の変化に応じ企業内への設置が進むCSIRT。本記事では、セキュリティ対策において被害の最小化に貢献するCSIRTについて解説する。


近年、日本においてもサイバー攻撃に対応するために、CSIRT(シーサート)を設置する企業が増えてきています。CSIRTはインシデント対応はもちろん、コンピューターのセキュリティ全般の司令塔を担いますが、CSIRTに対する誤解や運用の迷いが存在するようです。

当記事では、CSIRTの概要から具体的な業務、社内でのCSIRTの構築方法をわかりやすく解説しています。読み終えた頃にはCSIRTの全体像を把握することができます。







とは

1988年のインターネット上のモリスワームによるインシデントの際に、米国カーネギーメロン大学内にCERT/CCが設置された。 その後、世界各地に「CERT」を含むチームが設置された。 しかし、カーネギーメロン大学の登録商標との関係から別の呼称が求められ、「CSIRT(computer security incident response team)」が広く採用されるようになってきた。 CSIRTの国際的な連合体としてはFIRST(Forum of Incident Response and Security Teams)がある [1]

日本では1996年にJPCERT/CCが発足した [2]。 2001年頃から国内により多くのCSIRTの設置を促す活動が行われるようになった [3]。 2002年4月に内閣官房情報セキュリティ対策推進室内で発足したNIRT(National Incident Response Team)もCSIRTのひとつであった [4]。 日本国内の連合体としては2007年に発足した日本シーサート協議会(NCA:Nippon CSIRT Association)がある。


CSIRTとは「Computer Security Incident Response Team」の略であり、そこに含まれる「Computer Security Incident(以降、インシデント)」とは、日本最初のCSIRTでもある公的機関JPCERTコーディネーションセンター(以降、JPCERT/CC)のWebサイトにおいて以下のように説明されています。

コンピュータセキュリティインシデントとは、「情報システムの運用におけるセキュリティ上の問題として捉えられる事象」です。コンピュータセキュリティインシデントの例として、情報流出、フィッシングサイト、不正侵入、マルウエア感染、Web改ざん、DoS(DDoS)などがあります。

 ここで注意すべきなのは、いわゆる「不正アクセス」とは異なり、攻撃の試みなど実害のないものも含んでいる点です。例えば、日本において「不正アクセス」とは、「不正アクセス禁止法」によって定義されており、簡単に説明すれば、実害のあるものであり、攻撃の試みのような実害のないものは含まれていません※。攻撃の試みは、それ自体に実害はないものの、攻撃の予兆を示す可能性もあることから、一般的にインシデントとして取り扱われます。

※注記:なお、現在の不正アクセス禁止法では、フィッシングやID/パスワードの不正取得といった、それ自体は直接の実害を生まないものの、実害に繋がる可能性が高い行為も処罰の対象となっています。

 CSIRTとは文字通り「インシデントに対応するチーム」なわけですが、実はCSIRTには様々なタイプがあります。世界最初のCSIRTである米国CERT Coordination Center(以降、CERT/CC、なお「CERT」は登録商標)のCSIRT FAQによれば、以下の6種類に分類されます。

  • 組織内CSIRT(Internal CSIRT):組織内で発生したインシデントに対応
  • 国際連携CSIRT(National CSIRT):日本ではJPCERT/CCなど
  • コーディネーションセンター(Coordination Center):協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
  • 分析センター(Analysis Center):インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
  • ベンダチーム(Vendor Team):自社製品の脆弱性に対応
  • インシデントレスポンスプロバイダ(Incident Response Provider):いわゆるセキュリティベンダ、SOC事業者など出典:JPCERT/CC「CSIRTガイド」(PDF) 

 今回解説するのは、上記のうち、組織内で発生したインシデントに対応する「組織内CSIRT」です。

 CSIRTの最後のTがTeam(チーム)であることから、CSIRTを何らかの部署として構築しなければならないと思われている方が少なくないのですが、それは違います。

 実は2000年代初頭まではCSIRTとは別にCSIRC(Computer Security Incident Response Capability)という言葉も使われていたのですが、今ではCSIRCという言葉はほとんど使われることがなくなり、代わりにCSIRCの意味を含めてCSIRTと呼ばれることが一般的となっています。つまり、CSIRTとはチームでも機能でも良いということになります。

 CSIRCという言葉が使われなくなった理由ははっきりとしていませんが、インシデント対応において最も重要な「チームワーク」を意識するためには「機能」と表現するよりも「チーム」と表現した方が担当者間の一体感や連帯感を増すことができるからではないかと私は考えています。

 いずれにせよ、実際のインシデント対応においては誰か1人のスーパーエンジニアがいればよいというものではなく、関係者全員のチームワークこそが肝。だからこそ実装形態がどのようなものであっても「チーム」と表現するのだと思っていただければよいでしょう。

 ここで改めて、CSIRT、すなわち「インシデントに対応するチーム」とは何かを考えてみます。「対応する」という表現からどうしてもインシデント発生後の活動のみをイメージしがちですが、それは違います。ここでいう「対応する」とは事前の準備も含むのです。

 CSIRTの活動は消防署に喩えられることが多いのですが、消防署の活動は、消火という「事後対応」だけでなく、防火対策という「事前対応」も含むことはよく知られています。同じようにCSIRTについても、インシデント発生前の対応、例えば、これまでに組織内外で発生したインシデントに関する情報を集約・蓄積し、場当たり的でない包括的な対策を検討・実施するのもCSIRTの重要な役割の1つです。

 このような事前の準備を含めた包括的な対応全般を一般的に「インシデントマネジメント」と呼びます。言い換えればCSIRTとは「インシデントマネジメントの中核を担うもの」ということができます。ただし、CSIRTはあくまで中核を担うだけであり、必ずしもインシデントマネジメントの全てを担う必要はありません。


Computer Security Incident Response Teamの略で、「シーサート」または「シーエスアイアールティ」と読みます。「コンピュータセキュリティインシデント」に関する報告を受け取り、調査し、対応活動を行う組織体の名称です。インシデント対応を定常的に専業で行っているチームの場合もありますが、何かが起った際に特別に結成されるチームの場合もあります。

また、それぞれのCSIRTの対応内容と性質は、各々が「誰のためにそのサービスを提供しているか」等によっても大きく異なるものです。自組織やその顧客に関するインシデントに対応する「Internal CSIRT」、自社製品の脆弱性について対応する「Vendor Team」、いわゆるセキュリティベンダと言える「Incident Response Provider」、その地域のコンタクトポイントとしての「National CSIRT」、様々なCSIRTとのインシデント対応の連携を主な業務としている「Coordination Center」等々、色々な性質のCSIRT があります。日本のJPCERT/CCは、このNational CSIRTとCoordination Centerにあたります。また、設立母体も民間だけではなく、政府組織にも広がっています。日本では、内閣官房情報セキュリティ対策推進室にNIRT(National Incident ResponseTeam:緊急対応支援チーム)が設置されています。

尚、CSIRTはCERT(Computer Emergency Response Team)と呼ばれることもありますが、CERTという単語自体は米国CERT/CCの登録商標であるため、一般名詞はCSIRTとなります。


既存のセキュリティシステムでは、近年問題となっている悪質、かつ、巧妙な脅威に完全に対抗することは極めて難しくなっている。セキュリティの世界では昔から、守る側と攻撃する側との「イタチごっこ」という様相が指摘されていたが、その事実は今も変わっていない。インシデントを100%完璧に防ぐことは不可能だ。

 もちろん、インシデントに対抗するためのセキュリティシステムの整備やパッチの適用、セキュリティに関する啓蒙活動や制度上の整備などは重要だ。しかし、インシデントが発生しないという前提でセキュリティ対策を講じることは非常に危険だ。いざ、インシデントが発生してしまった場合、その対策(インシデント・レスポンス)を行えないからである。

 インシデントの発生の迅速な検地と的確な対応を行うための何らかの対策を講じるインシデント・レスポンス体制の整備も重要な課題である。このために機能するのが今回主題となるCSIRT(Computer Security Incident Response Team)の主たる目的である。

 CSIRTを一言で表現すれば、インシデントが発生した場合その通知を受け取る窓口として機能し、その状況を他のセキュリティ関連組織と連携して把握・分析して適切なレスポンスを提供する組織のこと。

 CSIRTの歴史は非常に古く、1988年に遡る。アメリカでモリスワームというマルウェアが発生し、ネットワークに甚大な被害を与えたことから、情報の共有や組織間連携といった相互協力体制でインシデントに対応する必要性が高まり、その連絡調整を担う組織として「CERT/CC(コーディネーションセンター)」というCSIRTが米カーネギーメロン大学内に設置された。これが世界で最初のCSIRTだ。

 その後、世界各国で同様のCSIRTが作られるようになり、各国のCSIRTをまとめ、他国との情報の収集や共有を行うための世界的な組織「FIRST(Forum of Incident Response and Security Teams)」という国際的な非営利団体も1990年に設立された。日本では「JPCERT/CC」という日本国内におけるインシデント・レスポンスを担当する組織が1996年に発足した。ちなみにJPCERT/CCはFIRSTの会員である。


最近では、セキュリティ事故対応のための体制としてCSIRTを設置する企業や組織が徐々に増えています。CSIRTとは「Computer Security Incident Response Team」の略語で、「シーサート」と読みます。単語の並びからも分かる通り、「コンピュータに関するセキュリティ事故の対応チーム」と訳すことができます。


CSIRT(シーサート)とは、「Computer Security Incident Response Team」の頭文字をとった略称で、セキュリティインシデント(セキュリティ上の問題)が発生した場合に対策をおこなう組織のことを意味する。CSIRTが設立された背景には、「セキュリティインシデントは起こるものである」という考え方がある。どんなに強固なセキュリティ対策を施しても、セキュリティインシデントを完全に防ぐことは難しい。攻撃者に狙われれば、さまざまな手法で攻撃を執拗に繰り返されることになり、いつかは防御を破られてしまいかねない。

CSIRTは、セキュリティインシデントにあった場合に、速やかに攻撃を検知し、組織的で迅速な対応をとるためのチームとなる。攻撃に対する守りの面だけでなく、システム復旧や原因究明まで網羅的に担っていることが大きな特徴であるといえるだろう。

CSIRTの歴史は古く、1988年に拡散したインターネット上のワームに対抗するために、米国カーネギーメロン大学内に「CERT/CC(Computer Emergency Response Team Coordination Center)」が設置されたのが、最初のCSIRTであると言われている。日本では、1996年に「JPCERT/CC (Japan Computer Emergency Response Team Coordination Center)」が設置された。その後も、内閣官房情報セキュリティセンター(NISC)対策推進室内に設置された緊急対応支援チーム「NIRT(National Incident Response Team)」や、「NCA(Nippon CSIRT Association、日本シーサート協会)」など、複数のCSIRTが立ち上がっている。

数多く存在するCSIRTだが、以下の6つの体系に分けられることが知られている。

  • 組織内CSIRT(Internal CSIRT)
    特定の組織内で起きたセキュリティインシデントに対応する。企業内に設置されるCSRITはここに分類される。
  • 国際連携CSIRT(National CSIRT)
    国や地域を代表するCSIRT。日本ではJPCERT/CCがその代表例となる。コンピューターセキュリティの情報を収集し、セキュリティインシデント発生時の迅速な活動に役立てるとともに、広く情報提供をおこなっている。組織内CSIRTは、国際連携CSIRTが公開する情報を収集して、セキュリティ対策に役立てることが求められる。
  • コーディネーションセンター(Coordination Center)
    他のCSIRTと連携し、情報セキュリティに関する調査や情報収集を担う組織。米国にあるインターネットセキュリティを扱う研究機関「CERT/CC」はその代表例だ。JPCERT/CCもここに分類されることがある。
  • 分析センター(Analysis Center)
    サイバー攻撃の手法やマルウェアの動きなどを調査、分析する機関のこと。セキュリティインシデント発生時に、システム復旧や原因究明に役立てることができる。
  • ベンダーチーム(Vendor Team)
    自社製品の脆弱性について調査し、場合によっては注意喚起のうえ、セキュリティパッチを提供する。
  • インシデントレスポンスプロバイダー(Incident Response Provider)
    CSIRTのアウトソーシングベンダーのこと。外部パートナーとして、企業などからCSIRTの機能提供を請け負う。自社組織内にCSIRTを立ち上げることが難しい場合、インシデントレスポンスプロバイダーの利用も選択肢として考えられる。

CSIRT(シーサート)は「Computer Security Incident Response Team」の略称で、情報セキュリティにおけるインシデント対応するためのチームを指します。具体的にはセキュリティ脆弱性に関する情報収集、サイバー攻撃やトラブルの監視、情報収集や監視に基づいた対応方針や対応手順の策定などが挙げられます。

CSIRTの目標は、インシデントによる被害を最小限にとどめ、速やかに元の状態に復旧することです。それには素早くインシデントを検知し、情報分析を通じて原因を特定することが求められます。

原因がわかれば社内への周知や外部の専門家との情報共有や意見交換が行われます。これらの作業をスムーズに実行するにはインシデント検知の仕組みづくりや社内の連絡体制の構築、情報収集するためのセキュリティツールの導入などが欠かせません。また、インシデントが発生した際の対応マニュアルの策定も重要です。

CSIRTは企業内に設置されます。組織の規模にもよりますが2~3名のチームで構成されることが多く、組織体系も千差万別です。企業によっては、「CSIRT」以外の独自の名称が付けられているところも少なくありません。

そのため、CSIRTの設置方法も組織によってまちまちです。一般的には、インシデント対応に対する課題を明確化し、CSIRTのグランドデザインを描きます。次に必要な人材を集め、予算を確保します。

CSIRTの設置において、最も難しいのは人材の確保です。CSIRTには豊富な知識と経験が求められるためです。もし、そのような人材の採用、育成が難しい場合は、外部の専門家をを利用する方法もあります。日本国内にはCSIRTの設置や運用を専門とするコンサルティング会社があるので、設置の際に相談することも一つの手です。


「Computer Security Incident Response Team」の頭文字を取った略語で、「コンピューターセキュリティに関する事故対応チーム」のこと。「シーサート」と読む。

1988年にアメリカで流行したマルウェア「モリスワーム」の対策のため、カーネギーメロン大学内に「CERT/CC(Computer Emergency Response Team / Coordination Center)」という対策チームが設置されたのが始まりといわれている。その後、世界各地に「CERT」をモデルにしたチームが設置されたが、登録商標の関係から「CSIRT」が広く採用されるようになった。

社会におけるITの重要性が年々増大する一方、特定の企業や組織をターゲットとした標的型攻撃や、メールを悪用した情報漏えい事件などが増え、これまでのセキュリティ対策では対応しきれない事例が急増している。こうした状況を受け、企業内や組織内にCSIRTを設置する動きが活発化している。

CSIRTの平常時の役割としては、主に次のものが挙げられる。
(1)組織内のセキュリティ施策や改善施策への関与・サポート
(2)組織を代表するセキュリティ対応組織として、外部との交流や情報収集を行う
(3)情報提供や啓発活動
また、事故発生時の役割としては、主に次のものが挙げられる。
(1)対応状況の把握、必要に応じて経営層への報告
(2)専門的知見を活用した対処、被害の極小化
(3)外部からの情報や通報の受け口、対処についての連携窓口

大きな企業や組織では、常設の機関として専任を置く場合もあるが、情報システム関連の業務を行うスタッフが事故発生時に集まって対応するケースもある。また、監視業務などを外部委託することも多い。サイバー攻撃の悪質化・巧妙化が進むにつれ、迅速に対応できる人材を確保しておくことが重要である。


Computer Security Incident Response Team
情報システムの安全性や機密性確保のため、発生するセキュリティインシデントに対応し復旧を行う専門組織。




H2候補

  • 変容するインシデントと脅威の拡大
  • CSIRTとは何か? 登場と発展について
  • 今、なぜCSIRTが注目されているのか?
  • CSIRTはどのようにして作ればいい?
  • 社内CSIRT構築のポイントは?
  • セキュリティ対策はなぜ必要なのか?セキュリティ事故による人的コスト、企業が受けるマイナスイメージは大きい
  • CSIRTとは何か?セキュリティ対策は終わりのないイタチごっこである
  • CSIRTが果たす役割は消防団のようなもの。設置するには何からはじめれば良いのか?
  • CSIRTの必要性
  • 組織内CSIRTの構築方法
  • セキュリティ対策に日々の運用徹底が重視される時代へ
  • CSIRTの成り立ちの歴史と今必要とされる理由
  • SOCとの違い・関係性
  • CSIRTの種類
  • Vendor Team(自社製品の脆弱性に対応する CSIRT)
  • Internal CSIRT(自組織や顧客が関わるインシデントに対応するCSIRT)
  • 分散型 CSIRT
  • 集中型 CSIRT
  • 統合型 CSIRT
  • National CSIRT(国や地域全体が関わるインシデントに対応するCSIRT)
  • Incident Response Provider(契約に応じて外部組織のインシデントの対応を代行するCSIRT)
  • Coordination Center(報告されたインシデントに対応できるCSIRT)
  • Analysis Center(インシデントの脅威や脆弱性を調査・分析するCSIRT)
  • CSIRTの機能・役割
  • CSIRTの自社構築でまず検討すべき項目
  • CSIRTを自社構築するプロセス
  • サイバーセキュリティ対策組織の重要性
  • 企業全体でのサイバーセキュリティ対策組織の重要性に関するもの
  • CSIRT 組織構築・評価
  • PSIRT 組織構築・評価

まとめ

※ このページは現在準備中です。記述内容は、以下の参考リンクより抜粋したものです。

参考

  • https://ja.wikipedia.org/wiki/CSIRT#:~:text=CSIRT%EF%BC%88Computer%20Security%20Incident%20Response,%E3%81%9F%E3%82%8A%E3%81%99%E3%82%8B%E7%B5%84%E7%B9%94%E3%81%AE%E7%B7%8F%E7%A7%B0
  • https://enterprisezine.jp/iti/detail/7138
  • https://www.nic.ad.jp/ja/basics/terms/csirt.html
  • https://www.nca.gr.jp/
  • https://www.sbbit.jp/article/cont1/24965
  • https://www.nri-secure.co.jp/blog/cyber-security-insident-response-team
  • https://eset-info.canon-its.jp/malware_info/special/detail/200128.html
  • https://www.amiya.co.jp/column/csirt_20200720.html
  • https://www.otsuka-shokai.co.jp/words/csirt.html
  • https://www.cscloud.co.jp/news/tech/202011302890/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です