CSIRTとは - 理数の散策路

CSIRT（Computer Security Incident Response Team、シーサート）とは、情報システムで発生したセキュリティ上のインシデント（以下、インシデント）に対し、それを解決すべく適切な対応を行う体制です。CSIRTの役割りは、火事に対する消防署の役割りに近いとされます。

CSIRTの活動
CSIRTの体制
CSIRTの導入

CSIRTの活動

CSIRTの活動は、インシデント発生前、インシデント発生時、インシデント発生後で分けられます。

インシデント発生前

インシデント発生前、つまり平常時の活動の目的は、セキュリティ事故を未然に防ぐことです。具体的には以下になります。

インシデントに関する情報を収集し、情報システムに与える影響を調査
インシデント発生時のマニュアルの整備
社員への注意喚起・教育・有事を想定した訓練の実施
セキュリティインシデントの監視と検知

インシデントの監視対象にはネットワークとエンドポイントがありますが、互いの長所と短所を補完しあう関係にあります。ネットワーク機器での監視の長所は以下になります。

監視ポイントが限定できる
エンドポイントの台数は関係しない
入口での検知・遮断が可能

エンドポイントでの監視の長所は以下になります。

暗号化通信でも検知が可能
ネットワーク以外の感染経路でも検知が可能
侵害（感染）の範囲の調査が可能

インシデント発生時

インシデント発生時は、被害を最小化し、速やかな復旧を行うことを目的とします。具体的には以下にような流れなります。

１	検知・連絡受付	異常検知システムを導入する場合は、何をもって異常と見なすかを予め決めておく組織内外からの通報に備えて窓口と体制を用意しておく
２	トリアージ	Why（原因）は後回しにして、When、Where、Who、What、Howを整理する CSIRTが対応すべきインシデントか否か判断する CSIRTが対応する、しないに関わらず、関係者に連絡する CSIRTが対応すべきと判断した場合はインシデント対応を行う
３	インシデント対応	事象を分析し、自組織で対応が可能かどうか判断する対応が困難な場合は、経営層に連携し、対応計画を策定する対応可否によらず、必要に応じて外部の専門機関と連携する対応計画の実施後、改めて問題が解決しているか確認する
４	報告・情報公開	必要に応じて、プレスリリースや監督官庁へ報告を実施する

これらの中でトリアージが最も重要とされ、インシデントへの対応の優先順位、判断基準を明確に決めておく必要があります。

インシデント発生後

インシデント発生後は、原因を究明し、再発を防止することを目的とします。

セキュリティ対策の見直し
インシデント発生時のマニュアルの見直し

CSIRTの体制

CSIRTの「T」は「Team」の略であるため、特定の部署のイメージがありますが、必ずしも「部署」である必要はありません。また、全ての要員を自社でまかなうことはリソース的に難しい場合があり、一般的ではありません。

例えば、扱う情報とスキルレベルの２つの観点に分けて考えます。扱う情報が内部情報（被害者側）の場合は社内の要員で対応し、外部情報（攻撃者側）の場合は社外にアウトソーシングします。

また、スキルレベルが低い（社内にノウハウがある）場合は社内の要員で対応し、高い（社内にノウハウがない）場合は社外にアウトソーシングするなどです。

この観点で、CSIRTの活動を４つに分類すると以下になります。このように、CISIRTの活動は必ずしも全て自組織で行う必要はありません。

項目	スキルレベルが低い	スキルレベルが高い
社内情報	【自組織で実施】インシデント管理、ネットワーク情報収集、従業員教育、人材確保など	【外部組織を中心に実施】リアルタイム分析・報告、問合せ受付、脆弱性診断、セキュリティ製品運用など
社外情報	【自組織を中心に実施】インシデント受付、インシデント分析、脆弱性管理・対応など	【外部組織で実施】リアルタイム高度分析、フォレンジック、検体解析、攻撃全容解析、証拠保全など

CSIRTの導入

CSIRTの導入の流れは以下になります。

STEP1	プロジェクト立上げ	目的設定、情報取集と現状把握・問題把握
STEP2	CSIRT計画立案	社内体制、リソース、構築スケジュールの検討
STEP3	CSIRT構築	経営層の承認、関係部署への説明、CSIRT体制整備、マニュアル作成
STEP4	CSIRT運用前準備	運用のシミュレーションの実施
STEP5	CSIRT運用開始	PDCAサイクルを回す