セキュリティ事故が発生したらどうするか決めていますか？

CSIRTという言葉は皆様ご存知でしょうか。

私はセキュリティに関わる記事の中でこちらのキーワードに触れたことがあり、「何かセキュリティ・インシデントが発生したときの緊急対応の仕組み」と漠然と思っていました。昨今、セキュリティについての話題がネット世界を賑わしているようですので(昨今に限らず日常的にとも言えますが)、少しCSIRTについて調べてみました。

CSIRTはシーサートと読み、Computer Security Incident Response Teamの略です。略称を見ると、チームなんですね。なんかカッコよさそうだぞ、と。
インシデントに対するレスポンスとあるので、やはり何か重大なセキュリティ事案が発生したときの緊急対応チームだろうと思いましたが、様々な情報からするとそれだけではなさそうです。

セキュリティに対する攻撃は、マルウェアや標的型攻撃など様々な形態があります。アンチウィルスソフトの導入、ファイヤーウォールやIPS/IDSの構築といったところから、ログの分析からの脅威の未然検知、ゼロデイ攻撃への準備等、様々な対策を講じなければなりませんが、こうしたセキュリティ対策にはここまでやれば十分というものがありません。予算の制約もあるでしょうし、必ずしも短期間でできる対策ばかりでもありません。明日にでも大規模な攻撃を仕掛けられる、あるいは内部からの情報漏えいが発生しないとも限りません。
そういった事案が発生した時にどのように対応するのか、この備えはどの企業・団体であっても必要なものではないでしょうか。

その備えはIT部門が中心となって実装することになりますが、緊急事態への即応体制が取れるかどうかは、全社的な意思の共有がされているかが重要です。そして、全社的に意思の共有がされるためには、経営層から全社員への周知徹底が不可欠なのです。
もちろん、個別の対策も重要なのは言うまでもありません。

日本国内でも多くのCSIRTが誕生しています。日本シーサート協議会という団体が設立されていて、日々増えているようです。こちらのサイトから加盟企業を確認できます。
IBMももちろん加盟しています。IBM CorporationとしてGlobalの団体に加盟しているほか、日本IBMとしても日本シーサート協議会に加盟しています。

IBMはセキュリティ対策をビジネスとして提供する立場でもあります。IBMでのノウハウをユーザー企業のCSIRT立ち上げ、運用に活かしていただくべく、各種コンサルやサービスを提供しています。
ただ、CSIRTをどこから準備するか、最初は悩むことも多いと思います。個別のセキュリティ対策を取ることはできるかもしれませんが、セキュリティ事故が発生した際の初動はどうしたらいいのか。社外への公表はどのように行うのがいいのか。
こうしたことは自社で延々と悩むよりも、専門家の話を聞いたり、経験談から学んだ方が迅速に準備できるのではないかと思います。

これからCSIRTを導入しよういう方は、下記のような研修を受講するのもひとつの手ではないでしょうか。

こちらのセミナーはこの会社で開催する数多くのIT系研修の中で、人気No.1とのことですので、ご参考までに。

CSIRT研修 (アイ・ラーニング社)

IBM 中山貴之のWeb Page (平日は毎日更新中)