CSIRTとは何か──インシデント対応の専門チームを理解する
CSIRT(Computer Security Incident Response Team)は、サイバーセキュリティに関するインシデント発生時の対応を行う組織内の専門チームです。SIRTやCIRTもほぼ同じ意味で、主な役割はセキュリティインシデントの予防、検知、対応、復旧をサポートすることです。
情報漏えい事故が発生すれば、上場企業なら記者会見、金融業なら金融庁への報告が必要になるかもしれません。取引先への補償や広告の差し替えが必要になるケースもあるでしょう。そうした有事に備えて、セキュリティエンジニアのみならず、弁護士、広告担当者などさまざまな関係者を巻き込んでCSIRTとして体制を整えます。実際に、抜き打ちで記者会見の練習をさせる企業もあります。
サイバーセキュリティの観点で見ますと、CSIRTはインシデント発生時に内部の調査を行うことになるので、SOCから連絡を受け取った後に詳細な調査を行います。
SOCは(特に外部委託の場合)システムの中身を詳細に理解して判断することは困難です。そのため、組織内のCSIRTとの連携が必要です。CSIRTが組織内の担当エンジニアなどと連携し、システムの事情を踏まえて対応することができます。
内部調査はさまざまなスキルが求められます。たとえば不審な処理があったとして担当者に確認したところ「業務で必要な正当な操作だった」とわかることも多いですが、システム所有者が認識していない処理の検知も発生します。
たとえば、毎月動く処理がセキュリティソフトのロジック変更により突然異常操作として誤検知されることもあります。人が操作せず自動起動する処理は、何が起きたのかをサーバーや通信の記録を見て原因を追跡し、事象を明らかにしなければなりません。このような調査をシステムの所有者ではないセキュリティ担当者が迅速に行うには、高い技術力が求められます。もちろん、システム所有者が調査するケースも多いです。ただし、誤検知の原因を突き詰める技術力や余力がない場合には、セキュリティ担当者が調査を行います。
あるいは、マルウェアと疑われて隔離されたファイルが本当に安全かを確認するにはコード解析の高いスキルが求められるかもしれません。場合によってはセキュリティソフトのメーカーと共同でリスクの調査を行うこともあります。
CSIRTの役割や開始手順は日本シーサート協議会が作成した「CSIRTスタータキット」を参考にすると良いでしょう。SOCは監視対象や体制が組織によって大きく異なりますが、CSIRTは対応プロセスが標準化されやすく、このキットでステップが明確に示されています。
ノウハウがなくて自力でCSIRT立ち上げが不安ということであれば、支援してくれる外部パートナーを利用するのもよいでしょう。組織内で体制を作らなければならないものではありますが、伴走者がいた方が効率的に適切なCSIRT体制を作りやすいと思います。
最後に
SOCとCSIRTについて改めて一言で表しますと、SOCはセキュリティリスクを検知してCSIRTに連携するのが仕事で、CSIRTはリスクの内部調査から根本対応、再発防止などの事後処理まで行うのが仕事です。実際の活動内容は組織によってかなり幅がありますが、こうした組織が企業のサイバーセキュリティを守っているので、セキュリティリスクの問い合わせがあったら誤検知だとしても前向きに協力をお願いします。
