CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介
今回は書籍 "CSIRT" (以下 CSIRT本)を紹介します。発行が2016年11月となっており、内容が古い部分もありますが、構築・運用方法の原則的な部分は変わりません。CSIRT の最新の情報を得られる日本シーサート協議会(以下 NCA)の紹介もさせていただきます。
CSIRTとは?
自組織の重要な情報資産を守るためのチームで Computer Security Incident Response Team の略です。
攻撃者の特徴
CSIRT本は情報が古い(2016年)のですが、攻撃者の組織化や、金銭目的の増加は、近年も変わっていないと思います。状況は、すでにご存じのことと思います。
CSIRTの業務
CSIRTは、インシデントが発生した後の対応をするのみではありません。「事前対応型サービス」として、告知や技術情報の監視など。また「セキュリティ品質管理サービス」としてリスク分析や、セキュリティ教育などもCSIRTが提供するサービスとして記載されています。サイボウズのセキュリティ室でも、フィッシングなどの注意喚起や、利用しているソフトウエアの脆弱性情報の発信、ISMS のプロセスに則ったリスク分析、セキュリティ教育の実施など、インシデント対応以外の活動を実施しています。
構築
CSIRT本の2章から構築と運用の話になります。
CSIRTの構築には、経営層がサイバー攻撃が経営リスクになることを理解し、CSIRTの任命をする必要があります。任命されたら目的、業務範囲、権限、役割などを決めていきましょう。CSIRT本では、CSIRTが担う役務としてさまざまな活動が紹介されています。
CSIRTの位置付け、メンバー構成
CSIRTが実組織として存在する形態もあれば、既存の部門にCSIRTの機能を配備する形態もあれば、複数の部門からメンバーを招集して仮想的なチームを構成する形態もあります。どの形態が正解ということはないので、自組織の状況に応じて、形態を選ぶとよいと思います。
運用
CSIRTを運用するためには、インシデントが発生したときの連絡窓口・管理方法を確立し、対応手順を作り、教育・訓練、自組織への周知が必要です。
インシデント対応手順書
インシデントは、トリアージを行ってから対応をする必要があります。まずはインシデントの優先度を決める方法を自組織の実情にあわせて決めましょう。インシデントの対応手順書は、CSIRTが対応するインシデントの一覧に基づいて、それぞれのインシデントごとに作成します。実際にインシデントが発生した場合は、計画どおりに進まないことを想定しておきましょう。
教育・訓練
CSIRT人材といっても、さまざまな役割があります。CSIRT本に記載がある役割を一部紹介すると「ノーティフィケーション担当」「リサーチャー」「コマンダー」「インシデントハンドラー」など色々は役割があります。それぞれの役割ごとに人を割り当てるのは難しいので一人の人が、複数の役割を担うことになると思いますが、それぞれの役割ごとに知識、経験が必要な分野になっています。どの役割はアウトソースするなどを決定し、自組織で対応する役割については、教育やインシデントが発生したことを仮定してシミュレーションを行う訓練を実施するなどが必要となります。
日本シーサート協議会(NCA)
CSIRT本の編著は、NCAで行われたものです。CSIRT本で紹介されているCSIRT人材の定義などは、最新のものにアップデートされていますし、「サイバー攻撃演習訓練実施マニュアル」は NCA のワーキンググループで研究された成果を公表されたものとなっています。大作です。訓練を検討されている CSIRT の方は、このマニュアルを読んでから訓練を計画・実施いただくことをお勧めします。訓練による成果が大きく異なることになるでしょう。
このマニュアルの note 記事が公開されていますので、ご紹介します。
NCAのワーキンググループ紹介
NCAではさまざまなワーキンググループが立ち上がっており、意見交換や研究などを行っています。
活動内容 https://www.nca.gr.jp/activity/ ※NCAのサイトに遷移します。
インシデント事例WG
加盟企業で実際に発生したインシデントを発表し、再発防止策などの対応方法について議論をしていますインシデント対応演習訓練WG
加盟企業の訓練事例を共有したり、WG内で模擬訓練やるなどで自組織の訓練体制整備の啓発を行っています脆弱性管理WG
脆弱性の管理について議論・検討を行っています
NCA加盟手続き
NCA事務局に加盟したい旨、メールする
NCA加盟企業に推薦依頼する
オブザーバーとしてNCAの活動に参加
審査を受ける
必要書類を提出する
という流れでNCAに加盟できます。
詳細は NCAの加盟案内をご確認ください。
https://www.nca.gr.jp/admission/index.html
最後に
サイバー攻撃が経営に与える影響が大きいことは、近年の病院などの事例などをみても明らかです。さまざまな業種でインシデントの予防、対応を実施する CSIRT の設置が必要です。CSIRT本を読んで基礎を理解し、CSIRT を設置し、最新の情報を得るために NCA への加盟まで進めましょう。加盟だけで安心せず、各種 WG に積極的に参加して、CSIRT のレベルを上げることが重要です。
Amazon での購入はこちら。