企業がとるべき対策 4

万が一に備えてCSIRTの設置を

3回にわたって、サイバー攻撃に対して、企業がとるべき対策をみてきました。未然にサイバー攻撃を防ぐためには、社内でサイバー攻撃について情報共有をすること、OSを常に最新版にアップデートしておくこと、従業員に不要なアプリケーションをインストールさせないこと、セキュリティソフトをインストールしておくことがとても重要になるとお伝えしました。

このように企業が現段階で取りうる最善の予防策をとっておいたとしても、サイバー攻撃の被害にあうことがあります。

ビジネスメール詐欺などソーシャルエンジニアリングを駆使した新しい手口のサイバー攻撃がしかけられ、たまたま、新入社員がその手口にひっかかってしまったなど、様々なケースが考えられます。

万が一、サイバー攻撃の被害にあってしまった場合には、事後対応が重要になってきます。「CIRTとは 1」でみてきたように、インシデント(事故などの危難が発生するおそれのある事態)に対応するためのCSIRT(Computer Security Incident Response Team)を立ち上げましょう。

CIRTとは 1

CSIRTとは、自社内に設置され、他企業、他組織と連携しながら、より的確に、より効率よくインシデント対応するための体制・仕組みのことです。

たとえば、自社のサーバがサイバー攻撃の被害にあい、何万件もの個人情報が流出してしまったという場合には、問題は自社内にとどまらず、広い範囲に及びます。

その際、自社内では、システム部門の担当者が原因の特定、他の被害の有無の確認などを進めながら、それと並行して、広報部は顧客や株主などの利害関係者にこまめに情報発信をするなど、関係各署が連携を取りながら、速やかに事態を収拾させる必要がります。

場合によっては、システム部門は、サーバやアプリケーションのベンダーと連絡、協力しながら現状を確認し、対応策を模索します。さらに、同じような被害が出ていないかなどを、外部のセキュリティ専門組織に問い合わせをするなど、社内、社外を問わず、横断的に対応を進めることもあります。

これらの横断的な対応をするにあたり、インシデントが発生して初めて関係各署のスタッフが集まり対応を協議していたのでは、スムーズにインシデント対応することが難しくなります。

そのため、何事も起こっていない平時から、インシデントが発生した時のことを想定しながら、インシデント発生時には、どこに誰が集まり、どのような連絡を取り合って何をやるなどを自社内の組織としてまとめ、関係するスタッフをチームとして構築したものがCSIRTです。

CSIRTを組む際、構想、構築、運用の3ステップがあります。会社や組織の中で上層部に対して、組織内CSIRTの位置付けや必要性を理解しやすいように資料をまとめ提供するところから始まります(構想)。

上層部の理解が得られたら、今度や予算や人的、物的リソースを確保し、インシデント発生時のCSIRTの動き方を書面などにまとめて準備します。その後、人選されたスタッフのセキュリティ意識の向上や、より実践的なトレーニングを積むなど、教育をほどこします。社外やベンダーなど、インシデント発生時に連携する組織に告知します。外部の組織からフィードバックがあれば、それを検証するなどしてCSIRTメンバーに共有します。(構築)

実際に、大小を問わずインシデントが発生すれば、CSIRTメンバー、外部組織が協力して対応し、その対応や改善点を一つ一つ検証し、メンバーに共有し、不備な点があれば絶えず改善を繰り返すなどして、より効率的にインシデント対応ができるようにCSIRTをブラッシュアップします(運用)。

このようにサイバー攻撃を予防する対策、サイバー攻撃が発生してしまった際の事後対応の両面から準備し、改善しておけば、世界中でサイバー攻撃が蔓延していても、自社が受ける被害をゼロ、もしくは、最小限の留めることができます。

昨今のサイバー攻撃の高度化、被害にあった際の影響の大きさの拡大にともない、自社にCSIRTを構築する企業が増えてきております。

日本シーサート協議会の最新のデータによると、2018年1月9日現在で、271チーム構築されています。

日本シーサート協議会 会員一覧

CSIRTの認知度、必要性が世間で広く認められ、自社にCSIRTを構築する企業は、今後もますます増える傾向にあります。

まだ自社内にCSIRTを構築していない企業は、ぜひ、構築に向けて準備を始めましょう。