CIRTとは 4

CSIRTはどのように構築すればよいか(後半)

前回のブログで、CSIRTはどのよう構築すればよいか、構築までに必要な4つのステップをみてきました。今回は、残りの4つのステップをみていきます。

5. 必要な予算やリソースの獲得

組織内CSIRTを構築するにしても、予算やリソースを計上しておく必要があります。

具体的には、組織内CSIRTの設立・運営に必要な予算や、いざインシデントが発生した場合に対応のための作業工数を見すえて予算を確保しておきます。

組織内CSIRTに必要な要員も確保しておく必要があります。構築活動のチームのメンバーが、そのまま要員となることが多いようです。

その他、組織内CSIRTの運営に必要な設備等を準備する必要があります。個人のパソコン、専用のセキュアなネットワークとサーバ、机や椅子、専用のメールアドレス(チームアドレス)などです。

これらは各メンバーが通常使用しているものをそのまま流用することも可能ですが、いざインシデントが発生した場合、一箇所に集まり、連携しながら作業をすることが想定されますので、そのような状況に対応できるように準備しておく必要があります。

専用のメールアドレス(チームアドレス)については、社外のメンバーやベンダー、セキュリティの上部組織と連携する際に必要となる場合があるため、できれば個人メールではなく、チーム用のメールアドレスを作成しておくのが望ましいです。

6. 組織内CSIRT関連規則類の整備

予算やメンバーなどのリソースが確保できれば、次はいよいよ具体的な組織内CSIRTのポリシーや手順を整備します。

インシデント対応に関するポリシー、情報セキュリティに関するポリシー、その他、業務活動に必要なポリシーを整備して、インシデント対応に関する手順、情報セキュリティ活動に関する手順、その他、業務活動に必要な手順を整備しておきます。

具体的には、インシデント発生時に連絡フローや、どのような種類のインシデントを報告するかなどについて、ポリシーや手順として整備します。

7. CSIRT要員(スタッフ)への教育

組織内CSIRT関連のポリシーや手順について整備できたら、今度はCSIRTのメンバーに対して教育をしておく必要があります。

いざ、インシデントが発生した際に、スムーズに対応できるようにしたり、日頃からセキュリティ意識を高めるためにも必要不可欠なステップです。

具体的には、各ポリシー及び手順、情報セキュリティ全般に関する知識、その他、業務に必要な知識を教育します。

あわせて、インシデント対応の事前訓練も実施しておきます。避難訓練のように、特定のインシデントが発生したとの想定のもと、インシデントの対応を訓練するとよいです。

その訓練を元に、業務に関するプロセスの評価、習熟度を把握、不足している能力やスキルの再教育を繰り返していけば、より実践的な組織内CSIRTになることを期待できます。

8. CSIRTの告知と活動開始

組織内において、上記の準備が整ったら、CSIRTに関する告知を実施します。

サービス対象や、情報共有及び連携活動をする関連部署や外部組織に対し、ミッションステートメントと活動内容(提供するサービス内容)、報告の手段などについて告知します。

告知をした相手方から反応や意見を得たり、インシデント対応を実施したところからフィードバックが得られることが予想されます。得られたフィードバックを共有し、CSIRTの活動を改善します。PDCSサイクルを活用し、フレームワーク、ポリシー・手順、活動内容などを継続して見直すと、よりよい組織内CSIRTが構築できます。

組織内CSIRTに関して検討すべき事項一覧

その他、組織内CSIRTに関して、下記のような内容を検討しておけば、インシデントに即応できるレベルの高い組織内CSIRTを構築することが期待できます。

・サービス対象者は?
・経営層及びサービス対象者の期待は?(何が必要か?)
・保護すべき重要な資産は何か?
・情報セキュリティに関する既存の問題は?
・どのような種類のインシデントが報告されるか?
・どのような種類の調整と対応が求められているか?
・どのような能力やスキルが必要か?
・どのようなプロセスが必要か?
・エスカレーションする先はどこか?
・どのような人が関わるか?
・どのようなコンプライアンス、組織の事業、組織文化があるか?
・誰が担当すべきか?他に担当できる人がいるか?
・外部との連絡調整、情報共有、連携活動の必要性はあるか?
・組織のリスク許容度はどうなっているか?

以上、4回にわたってCSIRTについてみてきました。サイバー攻撃は、今や他人事ではなく、いつ自分、自社の身に降りかかるかわからないほど、身近な脅威となっております。

常日頃から、自分自身だけでなく、組織として準備しておくと、いざ、サイバー攻撃が発生した際、被害を最小限に抑え、短時間が復旧できる可能性が期待できます。ぜひ、CSIRTの構築を検討してみましょう。