コラム一覧へ戻る

5分で解説!気になるIT用語

2019年11月12日

CSIRT(シーサート)1

第9回 「CSIRT(シーサート)」

 「CSIRT(シーサート)」とは、「Computer Security Incident Response Team」の略称で、コンピュータやネットワーク上の問題・危機(インシデント)に対応するための専門チームのことを指す。

■CSIRTとは

 「CIRT(Cyber Incident Response Team)」とも言う。

 コンピュータ、ネットワークにおける脅威は年々複雑化・巧妙化している。特にサイバー攻撃を100%防ぐのは不可能と言っていい。

 未然の対策を行うことはもちろん大切だが、それ以上にインシデント発生時に迅速な対応を行うことが重要となる。その役割を担うのがCSIRTなのである。

 日本ではまだまだ馴染みのない言葉だが、その歴史は古い。1988年に流行した「モリスワーム」というマルウェアによるインシデントに対応するため、アメリカのカーネギーメロン大学内に「CERT/CC(Computer Emergency Response Team/Coordination Center)」が設置されたのが始まりとされる。

 その後、世界各国で同様のチームが設置され、日本では1996年に「コンピュータ緊急対応センター(JPCERT/CC)」が発足した。

 現在では「一般社団法人 JPCERT コーディネーションセンター」(略称は変わらずJPCERT/CC)という名称で、日本国内におけるインシデント対応の支援や、セキュリティ関連情報の発信などを行っている。

 なお、「CERT」はCERT/CCの登録商標となったことから別の呼称が求められ、現在は「CSIRT」が広く使われるようになった経緯がある。

引用元: JPCERTコーディネーションセンター「CSIRTマテリアル」
http://www.jpcert.or.jp/csirt_material/

■CSIRT(の機能)分類

 CSIRTには、チームという単語が使われているものの、必ずしも独立した専門部署である必要はない。重要なのは「インシデント対応を専門に行う機能」で、複数の部署を横断したり、外部組織と連携したりすることでそれを実現するケースもある。

 JPCERT/CCは、活動範囲(サービス対象)によってCSIRTを以下のように分類している。

  • ①組織内CSIRT
  •  CSIRTが属する組織にかかわるインシデントに対応する。一般的な企業内のCSIRTなどを指す。

  • ②国際連携CSIRT
  •  国や地域を代表して、それらに関わるインシデント対応のための連絡窓口として活動する。前述のJPCERT/CCがこれにあたる。

  • ③コーディネーションセンター
  •  インシデント対応において、協力関係にあるCSIRT間の情報連携や調整を行う。
     JPCERT/CCや、日本シーサート協議会(日本で活動するCSIRT間の情報共有や、組織内CSIRTの構築を支援するコミュニティ)などが日本で活動している。

  • ④分析センター
  •  インシデントの傾向分析や、マルウェアの解析、攻撃の痕跡の分析などを行い、必要に応じて注意喚起する。JPCERT/CCはこの機能も持つ。

  • ⑤ベンダチーム
  •  自社製品の脆弱性に対応して、パッチを作成したり、ユーザーに向けて注意喚起を行ったりする。組織内CSIRTを兼ねるケースもある。

  • ⑥インシデントレスポンスプロバイダ
  •  組織内CSIRTの機能(の一部)を請け負うサービスプロバイダ。セキュリティベンダや、SOC(Security Operation Center=セキュリティ・オペレーション・センター)事業者を指す。

CSIRT(シーサート)2

■CSIRT設置のメリット

 それでは、ここからは主に組織内CSIRTについて述べていこう。企業や組織内にCSIRTを設置するメリットは次のようなものが挙げられる。

  • ①インシデント発生時における情報管理の一元化
  •  インシデントが発生した場合、各部署からの情報がバラバラに上がってしまうと、経営層は情報の整理に追われる上に、対応の指示も各部署それぞれに行わなくてはならない。
     CSIRTが情報管理と伝達窓口の役割を担うことで、各部署にとっては「どこ(だれ)とやりとりをすればいいか」が明確になり、経営層にとっても整理された情報を受け取れることで、迅速な指示が可能になる。
     場合によっては、経営層から権限を委譲され、CSIRT自身の判断で対応・指示を行うこともある。

  • ②外部との連携、信頼関係の構築
  •  CSIRTは組織内だけでなく、外部(組織)との連絡窓口にもなる。統一された窓口がなければ、外部からの問い合わせや情報提供などの整理が困難になり、結果インシデント対応が遅れてしまう可能性が高くなる。
     CSIRTが統一された窓口となることで迅速な対応ができ、また外部組織に対しても情報共有などの連携を適切に行うことで、信頼関係の構築が容易になる。

  • ③ノウハウの蓄積と情報共有
  •  組織内で発生するインシデント全てに対応するため、ノウハウの蓄積をしやすくなる。
     後述するが、日本ではCSIRTに対してスキルの高さが強く求められているので、人材育成の一助になるだろう。スキルが上がれば外部に対しての情報提供・共有も積極的に行えるようになる。

■構築上の課題と日本における設置状況

 このようにCSIRTにはさまざまなメリットがあるが、実際に「設置→運用」という段階になると、リソースの確保、技術力(技術者)の確保という課題がある。

 IPA(独立行政法人 情報処理推進機構)が公開している「企業のCISOやCSIRTに関する実態調査2017」によると、日・米・欧の従業員数300人以上の企業に対して行ったアンケートで、「CSIRTを設置している」「CSIRTという名称ではないが、インシデント対応を担当する組織がある」と答えたのが、米国90.1%、欧州78.0%に対し、日本は66.8%だった。

 大企業や技術者が揃っている企業でなければ自社のみでの設置、運用は難しいため、基本的には上述の「インシデントレスポンスプロバイダ」などにアウトソースするのが望ましいだろう。

 なお、JPCERT/CCと日本シーサート協議会が共同で行った「2017年度 CSIRT構築および運用における実態調査」によると、発足時6組織(日立製作所、IIJ、JPCERT/CC、ラック、NTTおよびソフトバンクBB)だった日本シーサート協議会の会員は296組織(2018年6月25日時点)。2019年8月における公開情報では366組織(2019年8月19日時点)となっている。

引用元:IPA「企業のCISOやCSIRTに関する実態調査2017/情報処理推進機構」
https://www.ipa.go.jp/security/fy29/reports/ciso-csirt/index.html

■組織内CSIRTの構築

 「2017年度 CSIRT構築および運用における実態調査」によると、CSIRTの設立には概ね1年程度の期間を要する場合が多いという。

 「6ヶ月以上~1年以内」と回答した組織が5割強あり、「政府機関もCSIRTを取り上げるようになっているし、ウチもとりあえず作ろう」という思いつきなどで構築できるものではないことが分かる。

 また、JPCERT/CCが「CSIRTマテリアル」というCSIRT構築に関する資料を公開しているものの、非常に情報量が多く、ハイレベルの技術者でなければ活用は難しい。設置までにかかる労力、必要な技術力という点を考えると、やはり専門の外部企業との連携・委託を第一に検討すべきだろう。

引用元: JPCERTコーディネーションセンター「2017年度 CSIRT構築および運用における実態調査」
https://www.jpcert.or.jp/research/CSIRT-survey.html

引用元: JPCERTコーディネーションセンター「CSIRTマテリアル 運用フェーズ」
https://www.jpcert.or.jp/csirt_material/operation_phase.html

この記事は2019年11月12日時点のものです。

コラム一覧へ戻る