CSIRT(シーサート)について、全4回に渡り解説をしていくシリーズの第02回目です。
今回は「CSIRT(シーサート)ってなに?」というテーマについてお伝えしていきます。
今回のトピックス
- CSIRT(シーサート)とは
- CSIRTは何をする組織なのか
- CSIRTの重要な役割
- 増えているCSIRT
- DeNA CERTについて
- 組織の中のCSIRTの置かれ方
- CSIRT設置の際に決めておいた方がいいもの
- CSIRTは連携をするものである
CSIRT(シーサート)ってなに?
CSIRT(シーサート)とは
CSIRT(シーサート)とは「Computer Security Incident Response Team」の略称で、日本語では「セキュリティインシデント対応チーム」と表記することもあります。「CSIRT」は無料で使用することができます。
名称については、CSIRTを構築している会社でそれぞれ名前を付けており、たとえば「株式会社いろは」という会社であれば「いろはCSIRT」とつけることもできます。
様々なCSIRT組織がある中でもCERT/CCという組織があります。1988年にアメリカで創設された、世界初のCSIRT組織です。この組織はとあるコンピューターウィルスの感染対応を機に創設され、これを機に世界で様々なCSIRT組織が作られていくきっかけとなりました。
CERTに関しては申請・登録が必要で、日本ではDeNA CERT、NTT-CERTなどがあります。
組織の背景や歴史によって名称は様々ですが、ここから先の動画内で「CSIRT」と表現する際には「CERT/CC」も含め、様々なCSIRTの総称として使用していきます。
CSIRTは何をする組織なのか
こちらでは「FIRST(FIRST CSIRT Service Framework)」の図を引用して解説していきます。「FIRST」とはグローバルのCSIRT組織の集まるコミュニティです。
(動画で図をご確認いただけます)
CSIRTで一番大切なのはインシデントが起きた時の対応です。
情報セキュリティインシデントマネジメントが非常に大事な役割で、どのCSIRTでも必ずこの機能を持っているのではないでしょうか。こちらでは実際にどのような対応をするのかということを動画内で詳しく解説をしています。
さらにCSIRTでは「何かが起きる前の対応」など、他にも役割があります。
どのようなことを行っているのかということについても、動画内で解説しています。
動画内ではCSIRTの役割について紹介していますが、実際にどこまでやっているかというのは、組織によって何を重要視するかによって変わってきます。
CSIRTの重要な役割
CSIRTの重要な役割に「対外的な連絡窓口」というものがあり、これも非常に特徴的で大切なところです。
CSIRTはインシデント対策をやっていればいい、というものではありません。それであれば、CSIRTがなくてもセキュリティ部が社内のセキュリティを守ることで可能になるかもしれません。
CSIRTは対外的な窓口を持ち、さらに社外のCSIRTとも連携することができるというのが重要なポイントになります。そしてこの対外的な窓口で連絡を受けた際に、技術的な問い合わせに対応が可能であるということが求められています。
対外的な窓口があることでどのような対応が可能なのか、動画で詳しく解説しています。
さらに事後対応、インシデントレスポンスだけではなく、その経験を元に事前対応(インシデントレディネス)を進めているところも重要なポイントです。
すべてのCSIRTが必ずしもそうではないのですが、部署を横断した組織体制を取っていること、というのも重要なポイントです。
組織そのものが部署横断ではなくても、何かインシデントが起きて対外的な窓口での対応を取りつつ社内対応も取る際に、部署を超え横断した対応が取れるかどうか。
こういった対応を取れるのがCSIRTであり、経済産業省のサイバーセキュリティ経営ガイドラインでも整備するようにと言及されています。
増えているCSIRT
CSIRTという組織は国内で非常に数が増えています。
これはサイバー攻撃や情報の漏洩・破壊、そういったインシデントが増えていたり、その手口が高度化していることによります。
この他に、先ほどお伝えしたサイバーセキュリティ経営ガイドラインで注意喚起されている、というところも影響しています。
日本CSIRT協議会(NCA)という、日本のCSIRTが集まって情報共有をするコミュニティがあるのですが、こちらの加盟チームも2022年2月現在で443チームと非常に数が増えています。
この協議会には日本のすべてのCSIRTが加盟しているわけではないので、実際に日本にはCSIRTがこの加盟数よりもたくさんある、ということが言えるでしょう。
DeNA CERTについて
CSIRT第1回目の動画で、ディー・エヌ・エーのセキュリティ部の仕事を紹介しました。
そこではセキュリティ部がメインとなっており専門部署となっていますが、DeNA CERTといった場合はセキュリティの部署だけではなく、情報システム部やリスクマネジメント部門と一緒に横断でチームを作っていて、その総称をCSIRTと呼んでいます。
実際にどのように活動しているかについては、動画内で詳しく解説をしています。
さらにDeNA CERTの上位組織や、サポート対象、窓口についても解説しています。
組織の中のCSIRTの置かれ方
組織の中にどのような形態でCSIRTが存在するかというのは、会社によって様々で決まりはありません。
経営層の直下に置くところもあれば、社長の命を受けて組織全体のインシデント対応やセキュリティの事前対策をする、という位置づけにしている会社もあります。
動画内ではディー・エヌ・エーの例も含め、その他の位置づけについても解説をしています。
CSIRT設置の際に決めておいた方がいいもの
CSIRTがどのような形態であったとしても、これだけはきちんと決めておいた方がいいというものは「範囲」です。
CSIRTは組織全体を見るのか、グループ全体を見るのか。
その他にも役務や責任、権限など決めて置くべき範囲について、ディー・エヌ・エーの実際の例を用いて詳しく解説をしています。
CSIRTは連携をするものである
CSIRTは対外的窓口であるとお伝えしましたが、CSIRTは連携するものでもあります。組織間で連携してこそCSIRTであると言えます。
こちらではコンピューターがウィルス関連をした、という例を元に、どのような連携が行われているかについて詳しく解説をしています。
ディー・エヌ・エー 渡辺 文恵 さんの解説動画です。
株式会社フォスターネットが提供する「FOSTER WORKSTYLE」シリーズでは ITエンジニアの皆様に学びを提供する動画を配信しています。 フォスターネットのYoutubeチャンネルをぜひご登録ください!