1.社内CSIRTの組成と運用:私の体験に基づく実践的なアプローチ
このコラムをご覧の方はCSIRT(Computer Security Incident Response Team)をご存知でしょうか?CSIRTとはコンピューターシステムやネットワークがサイバー攻撃を受けた時などに対応する組織です。
筆者は会社員時代、社内でCSIRTを組成し活動していた経験があります。組成したとは言っても専門組織ではありません。社内で情報セキュリティの推進を行っているチームや情報システム部門のスタッフなどを寄せ集めたバーチャルな組織として活動していました。 今回は、その体験に基づいた話をしたいと思います。
2.CSIRTの組成と日本シーサート協議会への加盟
以前に書いた「サイバーセキュリティ経営ガイドライン」のコラムで、自己評価結果の第三者によるコンサルティングを受けたと触れましたが、その際にコンサルタント(「サイバーセキュリティ経営ガイドライン」の筆者の一人)から、会社でCSIRTを組成し、日本シーサート協議会へ加盟して会員企業と情報共有することが有効だということを教えていただきました。筆者はさっそく飛びついたわけですが、日本シーサート協議会の会員になるにはいくつかハードルがありました。 例えば、既に会員の企業の推薦が必要(これは、コンサルティングしていただいた会社が会員だったためクリア)、さらに何回かオブザーバーとして会合に参加し実績を積むことが条件でした。これらをクリアした後、申請書を提出し審査される訳ですが、無事審査が通り正式に日本シーサート協議会へ加盟することができました。
3.CSIRTの基本: 効果的な情報収集と緊急対応戦略
CSIRTの主な活動は大きく分けて二つあります。
(1)日常的な活動
一つ目は日常的に情報収集を行い、有益な情報を社内で活かすことです。一例として、日本シーサート協議会にはたくさんのワーキンググループがあるので、これに参加して状況共有(情報収集ではなく情報共有です)をすることです。参加されている方は、セキュリティベンダー会社の方を始め、会社で情報セキュリティを専門に担当されている方が多く、ワーキンググループへの参加は非常に有益です。他では聞けないような、場合によっては社外秘では?というようなことも耳にすることがありました。ここで共有した情報は会社内で利用することは構いませんが、チャタムハウスルールに従い、情報ソースは明らかにしてはいけません。
他に、セキュリティベンダー主催のセミナーに参加したり、年2回開催される情報セキュリティEXPOに参加して情報収集する、セキュリティ関連のサイトを定期的に閲覧したり、専門の書籍を読むことも良いでしょう。ただ、サイト閲覧や専門の書籍で注意が必要なのは情報の鮮度です。昔の常識は今の非常識になっているものもありますので、そこは注意する必要があります。
(2)サイバー攻撃などを受けた時の対応
二つ目は、サイバー攻撃などを受けた時の対応です。ここでスムーズに対応できるかどうかは日頃の準備にかかっています。
いつ、どのようなサイバー攻撃を受けるかわかりません。そのため、CSIRTとしては
「対応マニュアル」を整備し、定期的に可能な範囲での訓練を行うことが重要です。この訓練によってうまくいかないところや修正が必要な対応方法などは見直し、「対応マニュアル」を改訂しておくことが必要です。あくまで、緊急時に使えるマニュアルが必要なのです。
そして、実際にサイバー攻撃を受けた時は、この「対応マニュアル」に従って動くことが必要です。例えば、起こっている現象の把握、トリアージ(例えば複数のサーバーがランサムウェアに感染した時は回復の優先度を決める)、これらと合わせて経営層への報告、契約しているセキュリティベンダーへの連絡、社内への周知、感染した機器の対応など並行して対応しなければならないことが盛りだくさんです。
CSIRTは組織ですので、必ず「対応マニュアル」に書かれている役割分担に従って対応してください。集まった情報を分析し指示を出す責任者、経営層やセキュリティベンダーとの連絡担当、社内や社外(場合によってはプレス対応)対応担当、そしセキュリティベンダーと協力して実際にサイバー攻撃に対応するシステム担当などです。これらが緊密に連絡を取り合い、感染元の隔離、トリアージ、社内外への連絡、機器の回復など「対応マニュアル」に従い実施することになります。
対応が終わった後、今回の対応を振り返り「対応マニュアル」の見直しを行ってください。このPDCAを繰り返すことがより良い「対応マニュアル」、さらにはより良いCSIRT活動につながります。