自社だけでできる、コストとリソースを最小限にした「CSIRT」構築レシピ&鉄則:中堅・中小企業向け、標的型攻撃対策の現実解(6)(2/2 ページ)
自社でできるCSIRT構築ステップ
ここからは自社でできるCSIRT構築ステップを紹介する。ここで紹介するステップを踏めばCSIRTを構築できるといっていいだろう。
CSIRTを構築するには、ワークショップ形式で進めることを推奨する。ワークショップ形式により、経営や現場をよく知る必要な人が集まるため、短時間の中で意見を集約することができる。
1回目ワークショップレシピ
主にCSIRTに関わる人々や利用できるリソースを整理する。CSIRT構築のために、改めて自社にどのようなリソースがあるのか考えよう。
- 現状のセキュリティ活動とステークホルダー分析
自社を取り巻く環境を整理する。以下のカテゴリーに当てはまる内容を洗い出そう
【例】- 社内体制
- 社外体制
- ITシステム
- 現状のセキュリティルール
- 従業員へのセキュリティ教育
- 過去に発生したインシデント
- 企業風土
- 事業内容
- 対象インシデントの特定
「現状のセキュリティ活動とステークホルダー分析」などで抽出したインシデントに対して、CSIRTはどのような対応を行うかを検討しよう。特に、内部犯行を対象に含めるかどうかが、大きなポイントになる
【例】- 内部犯行は含める?
- 従業員の過失は含む?(メール誤送信など)
- 対象はサイバー空間のインシデントのみ?(紙などの紛失も含む?)
- システム障害は含める?
- CSIRTの存在意義と名前の検討
CSIRTの名称と、存在意義を定義しよう。社名と絡めた名称にすると親近感を持ちやすく、社内に浸透しやすくなる。CSIRTに類する言葉や意味には次のような表現もあり、自組織に適した名称として利用してもいいだろう(なお、「日本シーサート協議会」のサイトでは、他社で構築しているCSIRTの概要や名称などを確認することができる)
【例】- ○○-CSIRT(Computer Security Incident Response Team)
- コンピュータセキュリティインシデントに対応することを「C」+「S」で表現
- 最も一般的に利用されている名称である
- ○○‐SIRT(Security Incident Response Team)
- セキュリティ全般(紙なども含めた情報セキュリティ)に対応することを「S」のみで表現
- 紙以外の物理的なセキュリティを担う場合もあり、ファシリティセキュリティに対応する場合もある
- ○○‐CIRT(Cyber Incident Response Team)
- サイバー関連(サイバー空間からの攻撃)に対応することを「C」のみで表現
- 「CSIRT」と大きく意味は変わらないが、サイバー対応を強調したい場合に使用
- ○○-CSIRT(Computer Security Incident Response Team)
- CSIRTの活動内容と参加メンバーの検討
CSIRTの活動内容と参加するメンバー(部署など)を洗い出そう
【例】- 参加メンバーの活動内容の洗い出し項目
- サイバー攻撃への対応内容(緊急時)
- セキュリティ対応(平時)
- 参加メンバーの洗い出し項目
- 内部組織(どの部署で対応するのか)
- 外部組織(どの組織と連携するのか)
- 参加メンバーの活動内容の洗い出し項目
- CSIRT体制の検討
CSIRTに参加するメンバーを基に、体制図を作成しよう。体制図を作成する際に、下記例にあるような内容も明記すると利用しやすくなる
【例】- CSIRTを主導する部署と、各種連携する部署
- 部署名、またはチーム名
- 氏名
- 役割(外部組織との調整など)
- 権限(サービスの停止判断ができるなど)
- 責任分界点(●●システムは★★チームが対応するなど)
2回目ワークショップレシピ
CSIRTが対応するインシデントの洗い出しと、「検知したインシデントの内容をどのように情報共有していくか」を定義する作業である。
- インシデント検知の仕組み
CSIRTが対応する対象のインシデントについて、それはどこで検知するのかを確認しよう。また「検知した内容をどこへエスカレーションするのか」のフローを確認しよう
【例】- Web改ざん:顧客→ヘルプデスク→システム部
- 標的型メール:従業員→ヘルプデスク
- DDoS攻撃:SOC(Security Operation Center)→システム部など
- インシデント対応レベル
「発生している事象に対して、どれくらいの危機感を持って対応すればいいか」を判断するための基準を作ろう。すでに会社で同様の基準などがあれば、大いに参考にしよう
【例】- 顧客情報漏えい10万件以上
→危機対策本部の設置、および、記者会見を行う - 顧客情報漏えい1000件以上
→CSIRTへ報告、および、プレスリリースなど
- 顧客情報漏えい10万件以上
- インシデント対応方針/フロー
ここではインシデント発生時に汎用(はんよう)的に利用できるフローチャートを作成したい。「スイムレーンフローチャート」というタイプのフローチャートを推奨する。列名に各部署名を記しておき、インシデントの検知から復旧までの流れを記していこう。ここでのポイントは、事前に事務局でフローチャートを作成しておくことだ。ワークショップ当日は、その確認や修正に時間を使おう - 外部公表基準
監督官庁や顧客などへの公表基準を作成しよう。自社に広報部があれば、公表する際の基準などを持っている可能性があるため、それらの基準をベースに、「セキュリティインシデントをどこまで公表するか」を定義しよう
【例】
サイバー攻撃を起因としてサービスが停止した場合、Webサイトに●●部が事象の“いきさつ”や対応を記載するなど - CSIRT共有手段の検討
CSIRTへ連絡する際の手段を決めよう。原則CSIRTには「PoC(概念実証)」と呼ばれる、一元管理する窓口が必要となる。オススメしているのは中小企業の皆さまも必ず使っているであろう“メール”を活用することだ。CSIRTメンバー全員を含んだメールアドレスを作成しておこう。また、会社でチャットツールやコミュニケーション用のSNSなどを利用しているのであれば、それを活用してもいいだろう
3回目ワークショップレシピ
CSIRTに関係する文書整理や、「会社に対してCSIRTがどのような対応を行うか」を明示するための工程である。
- 文書体系の整理
会社にはさまざまな規定やマニュアル類があると思う。今回、CSIRTを構築するに当たり、新規でマニュアルなどを準備できたなら、「その資料が会社の文書の、どの位置にあるのか」を整理しよう。
文書の中でCSIRTマニュアルを表記する際に、他のマニュアル類がその文書との関係が分かる方が、資料更新時の作業で整合が取りやすくなるという狙いがある - サイバーインシデント対応マニュアルの作成
CSIRTを運営する際のマニュアルに当たる。CSIRT活動を行う上で、誰がどのような役割を担うのか、そして、その手段などを整理したものである。これまでワークショップで決めてきたことをインプットとして、このマニュアルを整備していきたい
このように3つのワークショップの中で、CSIRT構築を進めるためのエッセンスを述べた。しかし、全てに取り組もうと考える必要はない。【鉄則 その2】で述べたように、すでに決まっている事項があるなら、それらを大いに活用してほしい。
ワークショップ時の心得
最後に、事務局がワークショップを仕切る際の心得も記しておくので参考にしてほしい。
- 自分の考えを自由に発言
- 全員対等な立場で、意見の変更もOK
- 簡潔に、適語表現で
- 傾聴、熟考、徹底討議
- 目的に照らしてベストを考える
- 全員の合意を追求、対案がなければ賛成
- 今の結論が、現時点での最良の結論
- 一時点で1テーマ
1つのことを討議し、決定した後に次のテーマに移る
上記の内容は、ワークショップ本番になると、意識して対応することがなかなか難しい場合がある。そのため、ワークショップを迎える前に事前説明会も開催したい。「なぜ、このような取り組みを行うのか」を事前に説明することで、CSIRT構築に対する共通認識を持ってもらうことができる。また、事前説明会を行うことで各部署の担当者の意見や、そこから見えてきた課題をくみ取ることができるからだ。
CSIRTを強くするために
今回は、CSIRTの構築方法について説明してきたが、いかがだっただろうか。次は、構築したCSIRTを強くしていく段階だ。その手法の一つとして「サイバー演習」がある。サイバー演習にもさまざまな種類があるが、一様にいえるのは「人のスキル面を磨くことができる」効果があるということだ。
確かに、堅牢なセキュリティ機器などを導入することで、セキュリティインシデントは軽減するが、そうすると、人は安心してしまう。この「安心」というものが時としてインシデント対応を阻害してしまう要因になっている。有事の際に意思決定するのは、最後は人である。
この「意思決定力」を磨くことができるのがサイバー演習である。次回の記事では、このサイバー演習を自組織で実施する際の肝要を紹介したい。
ベースラインAPT対策コンソーシアム(BAPT)
標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。
参加企業は、ニュートン・コンサルティング、サイバーソリューションズ、インフォメーション・ディベロプメント、ウェブルート、ベル・データ、フェス、ゾーホージャパン。
筆者プロフィール
石井 佑樹(いしい ゆうき)
ニュートン・コンサルティング株式会社 コンサルタント
ベースラインAPT対策コンソーシアム(BAPT)のセキュリティコンサルティング支援メンバー。
リスク診断、CSIRT構築支援、サイバー演習支援、標的型メール演習などを提供。
前職では大手自動車販売会社向け基幹系システムのIT業務に従事。サポートしていた基幹系システムに大規模なサイバー攻撃があり、サイバーセキュリティ分野の必要性を強く認識し、現職に携わる。以降、サイバーセキュリティに関する講演の他、制御系や官公庁におけるサイバー演習シナリオの設計、運営に力を発揮。
CompTIA Security Analytics Professional
CompTIA Cybersecurity Analyst+
ITIL Foundation V3
関連記事
CSIRTをめぐる5つの誤解
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。
「“あのとき”に何が起こり、どう対応したかが伝わっていない。記録もない」──CSIRTに潜む“ある”課題
日本シーサート協議会が2017年8月23〜25日にイベント「NCA 10th Anniversary Conference」を開催する。設立から10年を迎える同協議会は、同様にやや長く運用してきたCSIRTに浮上する「ある課題」を投げ掛けた。
攻撃関連の問題は一切なし? 分析にフォーカスしたセキュリティ競技会をRSAが実施
EMCジャパン RSA事業本部は2015年9月29日に、「RSA Security Analytics/ECAT ワークショップ」を開催した。Capture The Flag(CTF)と呼ばれるセキュリティ競技会の一つだが、攻撃や脆弱性に関する問題ではなく、セキュリティインシデントの分析、調査に特化していることが特徴だ。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。