CSIRTは「Computer Security Incident Response Team」の略で、コンピュータのセキュリティ問題に対応する社内チームのことです。日本では、サイバーセキュリティ基本法や不正アクセス禁止法が制定され、年々サイバー犯罪の検挙数が増加しています。しかし、過去のオリンピック期間中ではサイバー攻撃が多発しており、開催までにサイバー攻撃への対策を強化する必要があります。今回は、CSIRTの意味や注目されている理由、役割、設置までの流れについて解説していきます。
CSIRTとは
CSIRT(Computer Security Incident Response Team)は「シーサート」と読み、コンピュータのセキュリティ問題に対応するチームを指します。サイバー攻撃の手口は複雑化しており、情報システム部門だけでは対応しきれません。その対策の1つとして、最近注目を集めているのがCSIRTです。CSIRTを社内に設置すれば、他企業や他組織と連携しながら、コンピュータのセキュリティ問題に対応することができます。
日本におけるCSIRTの在り方
CSIRTに決まった形は存在しません。各企業が自社の実情に応じたCSIRTを設置しますが、CSIRTの設置形態は大きく分けて以下の3通りになります。
- 独立部署(専任メンバーで構成される)
- 部署横断(メンバーが他部署と兼任している)
- 個人(個人で組織内CSIRTとして属している)
このような設置形態の型はあるものの、日本企業においては、ネットワークの切り離しやサーバ停止などの権限について、経営層がCSIRTに直接委譲することは困難です。これは、「委譲すべき権限の存在が曖昧である」「社内での協力関係が成立しにくい」などの理由が背景にあります。最高経営責任者が意思決定できる権限を有していないことがあったり、社員がCSIRTを管理・監視の組織と見なし、情報提供や適切な報告を怠り協力関係を築けなかったりするのです。
このような状況下にある我が国において、上記の3つの型ではなく「権限委譲型」のCSIRTは存在します。以下で具体的な事例をご紹介します。
日本企業のCSIRT事例
日本企業の権限委譲型CSIRT事例の代表として、「楽天のRakuten-CERT」が挙げられます。Rakuten-CERTは以前から存在した体制をCSIRTとして再整理したもので、2007年11月から正式に活動を開始しました。外部関連組織との連携強化を目的とし、開発部システムセキュリティグループを中核に徹底したセキュリティ教育を行っています。
また、「権限委譲型」以外にも日本企業独自のCSIRTの形態があります。以下で具体的な事例をご紹介しますが、共通して見られる特徴は、「CSIRTの権限は持たず、技術的対応に専念する」「既存の体制を存続し、権限執行者(部署)と連携する」という2点です。
- OKIグループのOKI-CSIRT
OKIグループのOKI-CSIRTは2008年5月に正式に活動開始した、OKI情報企画部とOKINETセキュリティメンバーからなるバーチャルチームです。ネットワークの切り離しやサーバ停止などの権限を持つOKIの情報企画部と連携しています。 - NTTグループのNTT-CERT
2004年10月に活動開始した、持株会社にある情報流通プラットフォーム研究所の一研究グループからなるチームです。NTTグループにおけるセキュリティ関連の対応窓口であると同時に、グループ企業間の「コーディネーション(調整)」を担っています。 - HITACHIグループのHIRT(ハート)
1998年に研究プロジェクトとして活動開始し、2004年にHITACHIグループの「情報セキュリティ統括部」「情報システム事業部」「品質保証本部」と連携を図る形態に移行しました。HITACHIグループにおけるセキュリティ関連の対応窓口であると同時に、他の関連企業・組織との連携窓口でもあります。
関連記事:
・テレワークの実現に求められる情報セキュリティ対策とは
・今すぐ実施すべき、社内の情報漏洩対策一覧
・情報セキュリティに関わるリスクとは?
CSIRTが注目されている理由
近年、社会におけるITの役割が増加し、それに伴いサイバー攻撃が増加・巧妙化したことで、CSIRTが注目されるようになりました。
現代はインターネットで大抵のモノが購入できる時代です。便利になることは多くの人にとって嬉しいことですが、一報で個人情報やクレジットカード情報が狙われやすい環境にもなりました。そのため、企業は「サイバー攻撃などのセキュリティ問題が発生する」という前提で、事前にさまざまな対策を講じなければなりません。問題が発生する前にCSIRTの体制が整っていれば、対応から解決までの時間を圧倒的に短縮できます。時代の流れに伴い、CSIRTの重要性がより高まっているのです。
CSIRTの役割
CSIRTの役割は「消防団」に例えることができます。セキュリティ問題発生時に行う「消火活動(=事後対応)」、事前に情報収集や対策などを行う「防火活動(=事前対応)」を行うからです。
火災(=問題)はいつ起きるかわかりません。消防士が普段からいざというときのための訓練を怠らないように、セキュリティ問題に関しても備えておかなければならないのです。
「セキュリティ問題は起こる」という前提のもと、社内外の組織と連携し、企業全体でセキュリティ問題対応能力を向上させる。これがCSIRTの役割です。
CSIRTの設置までの流れ
- 経営層からの理解を得る
- 組織内の現状を把握する
- 組織内CSIRT設置のためのチームを結成する
- 組織内CSIRTの設計を行い、計画を立てる
- 組織内CSIRTの設立・運営に必要な予算やリソースを集める
- 組織内CSIRT関連の規則類を整備する
- CSIRT要員(スタッフ)へ教育を行う
- CSIRTに関する告知の実施
- 活動開始
経営層がCSIRTを理解していない場合は、まずは説明資料を用意しなければなりません。1つのチームを結成することになるので、人材や予算も必要です。かかるコストを考えるとなかなか検討に踏み切れないケースもあるかもしれませんが、セキュリティ問題が起きた際に十分な対策が整っていなければ、企業が受ける被害は非常に深刻になるでしょう。サービス継続・復旧対応やクレームの処理、法的対応などの人的コストがかかるだけでなく、マイナスイメージによって経営が圧迫される可能性もあります。問題発生時に払う莫大な犠牲を考慮すると、初期費用や維持費がかかってでもCSIRTを設置した方が得策だと考えられます。
関連記事:
・会社のPCは安全ですか? コンピュータウイルスの対策法を解説
・情報セキュリティと防犯対策に! 入退室管理システムを活用しましょう
まとめ
CSIRT(シーサート)は、コンピュータのセキュリティ問題が起きることを想定して、事前に対策を講じておくチームのことです。他企業や他組織と協力することから、設置に不安を感じる方もいらっしゃるかもしれません。しかし、もはや個々の組織では複雑化したサイバー攻撃に対応するのは困難でしょう。ぜひこの機会に、CSIRTの設置を検討してみてはいかがでしょうか。