【図解】コレ１枚でわかるCSIRT

» 2015/08/14

「標的型攻撃」や「リスト型攻撃」などのサイバー攻撃は、巧妙化の度合いを増しています。そのため、どんなに堅牢に防御しても、セキュリティ事故（セキュリティ・インシデント）を完全に防ぐことはできません。そこで、「インシデントは必ず起きるもの」という前提で、対応体制を構築し、備えておくことが求められています。このような情報セキュリティ対応の中核を担うのがCSIRT（Computer Security Incident Response Team）です。

CSIRTは、自社へのサイバー攻撃を検知し、セキュリティ事故が発生すれば直ちに緊急対応します。インシデントに対応する「火消し役」と考えるとわかりやすいかもしれません。主な役割は、次３点です。

社内対応：セキュリティ情報の提供や指示・命令系統の整備・管理

社外対応：社外からの問い合わせやインシデント情報についての統一した対外窓口（POC : Point of Contact）

情報連携：外部のセキュリティ組織や他社のCSIRTと連携し、セキュリティに関する情報を共有

インシデントに対抗するためには、セキュリティ対策を施したシステムの構築や運用管理、セキュリティに関する啓蒙活動や制度上の整備などが不可欠です。しかし、対策に完全はあり得ません。そのために、インシデントが発生すれば、直ちにそれを検知し対策を講じる体制としてCSIRTが必要になるのです。

CSIRTは、恒常的な部門として組織されることもあります。しかし、そのための要員やスキルを維持し続けることは容易なことではありません。そこで、必要に応じて招集される組織とする場合もあります。前者は、「消防署」であり、後者は「消防団」のような組織に例えるとわかりやすいかもしれません。

また、社内の要員だけでは、日々高度化、巧妙化するサイバー攻撃に対抗することは困難です。そこで、セキュリティ対策を専門とする企業や、セキュリティ情報を共有あるいは、支援してくれる外部組織との連携も必要です。

CSIRTの歴史は古く、インターネット黎明期の1988年、アメリカで甚大な被害を与えたマルウエア「Morris worm」対策のため、情報共有や組織間で連携する必要性が高まり、その連絡調整を担う組織として「CERT/CC（Computer Emergency Response Team / Coordination Center）」という組織が、米カーネギーメロン大学内に設置されました。これが世界で最初のCSIRTと言われています。

その後、世界各国で同様のCSIRTが作られるようになり、各国のCSIRTをまとめ、他国との情報の収集や共有を行うための世界的な非営利組織FIRST（Forum of Incident Response and Security Teams）が、1990年に設立されました。1996年、我が国でも「JPCERT/CC」という組織が設立され、インシデント情報の共有、対策の研究やガイドラインの作成、取り組みについての啓蒙などが行われています。

セキュリティ・インシデントは、増え続けています。この現実から逃れる術はありません。この事態に対応するために、企業はCSIRTを設置し、適切に機能させることで、例えインシデントが発生しても被害を最小限に食い止め、再発防止にも貢献することが、求められているのです。