CIRTとは 1

CIRTとは

これまでにこのブログの中で様々なサイバー攻撃の事例をみてきました。その中には、驚くほど巧妙な手口で攻撃をしかけてくる事例も見受けられました。

同時に、どのようにすればこれらのサイバー攻撃から個人情報、企業秘密などを守れるのかも見てきました。

では、万が一、このようなサイバー攻撃にあった場合は、どのようにすればよいのでしょうか。

みなさんは、「CIRT」という言葉をご存知でしょうか。CIRTは、CSIRT(シーサート)の略称です。CSIRTは英語の「Computer Security Incident Response Team」の頭文字をとった略語です。組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。

CSIRTの最後のアルファベットがTでTeam(チーム)を意味していることから、CSIRTを何かの部署として構築しなければならないと誤解される場合もありますが、必ずしも部署である必要はありません。

インシデントの関連情報、脆弱性に関する情報、攻撃の前兆に関する情報を常に収集分析し、対応方針や手順の策定などの活動を行います。

組織内の情報セキュリティ問題を「片手間」にでははく「専門」に扱うチームであるということが肝です。近年のサイバー攻撃の増加にともない、企業や組織内に設置するケースが増えています。

日本のCSIRTチーム一覧

しかしCSIRTには「標準規格」がないため、各CSIRTのレベルにはばらつきがあります。独立行政法人情報処理推進機構(IPA)が「企業のCISOやCSIRTに関する実態調査2017」報告書の中で実施した調査によると「CSIRTを設置したものの、期待したレベルを満たしている」と評価されるチームは18.4%とまだ少ないようです。

これから4回に分けてCSIRTとはどのようにチームで、どのように構築、運営すればよいかを見てきます。

CSIRTの成り立ちについて

日本ではまだまだ始まったばかりのCSIRTですが、1988年にアメリカで立ち上がりました。当時、アメリカでモリスワームというマルウェアが猛威をふるい、ネットワーク上で大きな被害が発生しました。このことをきっかけに、情報の共有や組織間での連携など、相互に協力した体制でインシデントに対応する必要性が高まり、その連絡調整する組織として「CERT/CC(コーディネーションセンター)」というCSIRTがアメリカのカーネギーメロン大学の中に設置されました。これが世界で初めてのCSIRTです。

その後、世界中でCSIRTが作られるようになり、日本では1996年に「JPCERT/CC」という日本国内におけるインシデント・レスポンスを担当するCSIRTが発足しました。

設置されるCSIRTが増え続ける背景

サイバー攻撃の脅威が拡大し続け、各企業もまったく攻撃を受けず、まったく被害を出さないという状況が困難になってきました。そのため、インシデント(事故などの危難が発生するおそれのある事態)が発生することを前提として、発生した後の的確な対応が強く求められるようになりました。インシデントが一度発生すると、どこへどう報告するかなど広報部門の対応なども必要となり、情報システム部門だけで対応するのは難しくなってきて、組織内全体の調整や統制ができるCSIRTが必要になるようになりました。

CSIRTの活動は、よく消防署にたとえられます。インシデントが発生した直後、被害の拡大を最小限に食い止める活動が「火消し」です。その後は、関連部署や専門部隊に引き継いで運用を続けるようなイメージです。火消しという「事後対応」だけでなく、防火対策という「事前対応」も必要となっています。CSIRTについても同様で、これまでに組織の内外問わず発生したインシデントに関する情報を集約・蓄積することにより、包括的な対策を検討・実施するのも重要な役割のひとつです。

<インシデント発生時の対応>
マルウェアの感染や情報漏えいなどのインシデントが発生

・マルウェア感染の原因、動作状況、今後の影響などを
どのように調べ、技術的にどう対策しどこへ報告すべきか。
・広報などを通じて顧客や利害関係者などへどうアナウンスすべきか。
・各部署との連携も必要となる。
・自社で解決できない問題は社外のリソース提供も要請する。

実際のインシデント発生時には、緊急を要する場合が多いので、誰か一人がいれば全て解決できるというものではなく、それぞれの専門の役割を果たして、関係者全員のチームワーク、総力戦で対応することが大事になってきます。