CSIRT活動における kintone 活用術
サイボウズでは、CSIRT活動を実施するうえで、自社製品 kintone を利用しています。どのように利用して CSIRT活動を実施しているのか紹介をします。
今回の記事は、全面的に kintone の広告的な記事となっています。サイボウズの CSIRT は、会社のセキュリティを担当する CSIRT と、サイボウズ製品のセキュリティを担当する PSIRT で構成されています。
CSIRT活動とは?
情報セキュリティ問題への対処を行うチームで、予防的な活動として、情報収集、分析、情報発信、リスク評価、インシデント対応ポリシーや手順の策定、外部組織との連携、リスクコミュニケーションを実施し、インシデント発生時には、被害を最小限に食い止める活動、インシデントからの復旧、原因究明および再発防止策の検討、実施などの事後対応を実施します。
予防的な活動
脅威情報のトリアージ
CISTA とは、JPCERT/CC が運用する、脅威情報や対策情報をタイムリーに提供、共有するポータルサイトです。
CISTA を通じて得た情報は、CSIRT/PSIRT で情報を共有し連携しながら、必要な情報を必要な部署に連絡をする必要があります。CISTA からの情報をいったん kintone に情報を溜め、トリアージを行い、適切なチームが対応できるよう連携してあたっています。
情報発信
収集した脅威情報や、情報セキュリティで注意すべきことは、kintone スレッド機能で社内向けに情報発信しています。全社向けの掲示用スペースが用意されているので、CSIRT が情報発信するようのスレッドを立ち上げ、全社向けに情報共有しています。
会社で利用しているソフトウェアのアップデート情報、フィッシングサイトの情報、社内に到着したフィッシング・マルウエアの情報、情報セキュリティ規則の定期的な案内などを流すことで、セキュリティについて興味を持っていただくようにしています。
相談の受付
日常の業務を実施していると、セキュリティに関して不安なことが発生します。不審なメールが来た、このようなクラウドサービスを使いたい、この情報はどのように保管すればいいのか、ブラウザの警告画面が表示されたがどう対応すればいいのかなど。さまざまな不安、相談についてなんでも登録できるように kintone アプリで窓口を設けて、日々の相談に対応をしています。
インシデント発生時
インシデント管理
インシデントが発生した場合、「インシデント管理」という kintone アプリへの登録をいただき、対応状況や、再発防止策の検討状況を確認し、適切な再発防止策が設定されたことを確認し、CSIRT がインシデントをクローズしています。
インシデントが登録されると、当該情報の情報責任者、CSIRT、個人情報の漏えいの場合には法務など状況に応じて通知が飛ぶように設定を行っています。
まとめ
CSIRT 活動においてコミュニケーションは重要な要素となっています。インシデントが発生したとき、もしかするとインシデントかもといった状況で、誰でも気軽に相談、投稿できる環境をつくることが大切です。kintone を組織全体で導入し、全員が気軽に情報共有できる環境を整備することで、インシデントの予防や、インシデントが発生したときに素早く対応ができます。