組織内CSIRT(Computer Security Incident Response Team)への関心が高まっている。今年の「情報セキュリティワークショップ in 越後湯沢」でも、中心トピックになりそうだ。しかしなぜいまCSIRTなのか。なぜ組織内にインシデントレスポンスチームを置く必要があるのか。
これについて答える、JPCERTコーディネーションセンター(以下、JPCERT/CC)常務理事の早貸淳子さんへのインタビュー。最近のAPT(Advanced Persistent Threat)動向を中心に、非常に説得力ある説明。コスト度外視で攻め込んでくるケースも増え、「攻撃者側のコストとリスクを上げ」るという手法では通用しなくなってきており、これからは「侵入を許してしまうことはあり得るという前提で、それでもなお、大切な情報を窃取されたり、システムを停止させたりしないための防御策」だという。
インシデント対応が可能な技術と権限を持つ「CSIRT」(Computer Security Incident Response Team)のような機能を、100パーセント内製/一部外注などの形態にかかわらず、企業でもしっかり整備したほうがよいと思います。
組織内CSIRTにどんな機能を持たせるかは、各組織の判断になりますが、基本的には、発生したインシデントについて、検知したり、報告を受けたりして、組織におけるインシデントと判断でき、解決に向けた対応および調整ができる機能が必要となります。特に、インシデントの発生抑止や解決のために、外部との技術的な連携ができることが重要です。
組織内でインシデントに対処するためのすべての機能を持つことは困難である場合が少なくないことから、外部の専門家などの支援を受けたり、外注のサービスを利用したりすることもあるでしょう。その場合には、CSIRTはこれらの者との窓口となって、インシデント発生時における切り分けや初動の体制を整えるといった機能を果たすことになります。
インシデントが発生してから、組織内での対処のための意思決定方法の確認や外部との連携のための方法の確認を行っていては、その間にも被害が拡大してしまうことになってしまうので、事前に必要な権限の適切な譲与やそのための体制作りを行っておくということです。