CSIRT...そもそも読み方分からない...
最初はそんな感じですよね。
読み方はシーサートと呼びます。セキュリティに関わる言葉ですが、今回は言葉だけは全く想像できないCSIRTとは何か?どんな使い方をするのか?を簡潔に解説します!
CSIRTとは社内セキュリティの組織です!
CSIRTとは、ズバリ!「社内のセキュリティ対策の組織」です。
とこれだけ覚えて頂くだけでも十分なのですが、もう少し詳しく解説します。
CSIRTは「Computer Security Incident Response Team」の略称で、セキュリティ上の問題が発生した場合に、迅速にその問題に関する情報を収集し、分析し、方向性を決め、対策を取るための組織を意味しています。
情報セキュリティに関して、組織全体で取り組んでいくためのチームですね。
CSIRTで窓口一本化!
CSIRTには先ほど述べた通り、インシデント関連の情報管理・分析を行ったり、関係者への指示系統や対応手順を構築したりしますが、大きな特徴としては、社内外に対しての「窓口を一本化」している、という点です。
窓口を一本化することで、スピード感ある情報の集約や発信がし易くなり、情報の誤送信も無くなります。
またCSIRTとしては、セキュリティ事案の発生の時点をポイントとして、事前、事後の対応がそれぞれあります。
事前対応は「マルウェア情報収集、脆弱性の改善、不正アクセス防止」などを行い、セキュリティ事案の発生を防ぎます。
事後対応は「事故の復旧、原因の究明、事故の拡散防止」など、事故から早期に正常に戻し、影響を最小限にするための活動となります。
以下によくあるCSIRTの体制図を掲載してますが、まさに窓口一本化のイメージですね。
CSIRTにはガイドラインがある!
CSIRTには構築に関するガイドラインがあります。このガイドラインを「CSIRTマテリアル」と呼び、JPCERT コーディネーションセンター(JPCERT/CC)が公開してます。(詳しくはコチラ)
このCSIRT用のガイドラインは以下の3つのフェーズに分かれてます。
- CSIRT構想フェーズ
- CSIRT構築フェーズ
- CSIRT運用フェーズ
(構想と構築が字として紛らわしいですね...)
ちょっと厚めのドキュメントですが、このガイドラインを参照にすることで、社内CSIRTを適切かつ迅速に構築し、運用をすることができると思います。
まとめ
今回は「社内のセキュリティ対策の組織」であるCSIRTに関して簡潔に解説しました。
CSIRTを社内に設置することで、情報セキュリティの事前対応、事後対応を確実に行い、セキュリティリスクを大きく低減することができるのですね。
社内CSIRTは体制を構築して満足するだけではダメで、常に最新のセキュリティ状況を把握し、適切な体制にしていくことが重要なので、作っただけの名ばかりCSIRTは避けましょう。
形より、中身が大事ですので。
以上です!