CSIRTは、最新のサイバーセキュリティに不可欠な要素であり、データ漏えいやランサムウェア攻撃などのインシデントに迅速に対応する役割を担います。CSIRTは、損害を緩和するだけでなく、リスク防止にも重点を置きます。サイバー脅威は進化するため、CSIRTは不可欠なものであり続け、新たなテクノロジーや組織のニーズに適応して、サービスの中断や財務的損失の可能性を防止します。
この記事では、コンピューターセキュリティインシデント対応チーム(CSIRT)の構成と目的について説明します。CSIRTは、ITとサイバーセキュリティの分野におけるさまざまなバックグラウンドを持つ専門家の集まりで構成されます。その目的は、サイバーセキュリティインシデントに迅速かつ効率的に対応することだけでなく、そもそもそのようなインシデントの発生を防止することです。
CSIRTとは、正式な部隊として組織された人々のグループであり、その使命は、データ漏えいやランサムウェア攻撃などのサイバーセキュリティインシデントに対して、結果を重視した迅速な対応を提供することです。通常、リスク緩和もCSIRTにとって重要なポイントです。攻撃を防ぐことは、攻撃に対応するよりも望ましいからです。これを達成するために、CSIRTはサイバー緊急事態を防止することを目的として、リスクの評価と管理のためのサービスを提供します。基本的な前提は、コンピューターに依存する組織は、専門チームが実行する正式なインシデント対応機能を備えている必要があるということです。
CSIRTがすべてのインシデント対応プロセスを実行するとは限りません。むしろ、このチームは他のグループの行動を調整し、彼らが準備した計画や手順に基づいて作業することで、自身の取り組みを補完します。特に、CSIRTは脅威や攻撃を封じ込め、脅威を根絶し、復旧を監督しようとします。たとえば、マルウェアがサーバーを乗っ取ると、セキュリティチームはCSIRTの既存の手順に従い、サーバーを分離して、マルウェアがネットワーク全体に拡散しないようにします。その後、CSIRTはマルウェアを排除してサーバーを正常に機能させるプロセスの実行を調整します。
多くの場合、CSIRTはインシデント後の調査を実施し、オペレーティングシステムへのパッチ適用、ファイアウォールのリセット、侵入検知システム(IDS)などの防御テクノロジーがサーバーに侵入したマルウェアを検知するように設定されていることの確認など、フォローアップタスクを実行または指示します。このプロセスの一環として、CSIRTは対応計画を更新する場合があります。さらに、CSIRTがセキュリティポリシーのレビューと改訂に関与する場合があります。また、監査にも対処します。
CSIRTの主な業務はインシデント対応です。望ましい影響を与えるための鍵は、迅速であることだけでなく、正しく対応することです。CSIRTごとに仕事の内容は異なりますが、目標は常に同じです。つまり、システムやデータへの損害を最小限に抑え、脅威を排除し、システムを迅速に稼働状態に復元することです。
準備は重要な成功要因の1つです。これは華やかな仕事ではなく、CSIRTは緊急事態ではない時には「何もしていない」ように見えるかもしれません。しかし、実際にはCSIRTは常にポリシーと手順を磨き、組織内のパートナーグループと連携しています。たとえば、CSIRTはセキュリティ・オペレーション・センター(SOC)のセキュリティオーケストレーション、自動化、対応(SOAR)システムとインシデント対応プレイブックを定期的に更新しています。これに関連して、CSIRTはおそらく情報共有分析センター(ISAC)と連携し、常に最新の脅威データを調査しています。
インシデントが発生すると、CSIRTが行動を開始します。脅威を封じ込めるとともに、IT部門、ビジネスマネージャー、法務部門、広報チームなど、必要なすべての関係者に通知します。脅威を封じ込めて隔離した後、CSIRTはおそらくシステムパッチを適用し、IT部門に同様のすべてのシステムにパッチを適用するよう指示して、システムを修復します。その後、CSIRTは関連する関係者向けにインシデントレポートを作成し、ポリシーと手順を更新して、今後同じインシデントが繰り返し発生することを回避します。
CSIRTは長年にわたり情報セキュリティの分野で確立されてきましたが、その事実はその名にも表れています。かつては、いくつかの大規模コンピューターが、管理情報システム(MIS)部門と呼ばれていたものの中心となっていました。いまや、「コンピューターインシデントが発生した」と言う人はいません。しかし当時は、「コンピューター」(おそらく「ガラス張りの家」の中にある巨大なメインフレームコンピューター)にセキュリティ上の問題が発生した場合、CSIRTが対応していました。サイバーセキュリティはこの数十年で重大になり、複雑化していますが、CSIRTの必要性は依然として残っています。それどころか、組織はこれまで以上にCSIRTを必要としています。
今日の深刻な脅威の状況ではリスクが非常に高いため、CSIRTは必要不可欠です。企業や公共部門の組織は、執拗で巧妙な攻撃者から身を守る必要があります。場合によっては、攻撃が国家によって行われることもあります。悪いサイバーセキュリティインシデントは、事業運営、財務、評判に重大な損害を与える可能性があります。適切に計画された迅速な対応が不可欠です。それが、CSIRTが提供するものです。
現在、CSIRTの役割はITとセキュリティのさまざまな分野に溶け込んでいます。たとえば、企業にSOCがある場合、SOCを実行するチームはCSIRTと連携し、おそらくCSIRTの手順を使用します。場合によっては、CSIRTの従来の業務の一部をテクノロジー自体が担っていることもあります。たとえば、SOARプラットフォームでは、ワークフローや脅威緩和プレイブックにCSIRTポリシーが組み込まれている場合があります。
CSIRTは長年にわたり情報セキュリティの分野で確立されてきましたが、その事実はその名にも表れています。かつては、いくつかの大規模コンピューターが、管理情報システム(MIS)部門と呼ばれていたものの中心となっていました。いまや、「コンピューターインシデントが発生した」と言う人はいません。しかし当時は、「コンピューター」(おそらく「ガラス張りの家」の中にある巨大なメインフレームコンピューター)にセキュリティ上の問題が発生した場合、CSIRTが対応していました。サイバーセキュリティはこの数十年で重大になり、複雑化していますが、CSIRTの必要性は依然として残っています。それどころか、組織はこれまで以上にCSIRTを必要としています。
今日の深刻な脅威の状況ではリスクが非常に高いため、CSIRTは必要不可欠です。企業や公共部門の組織は、執拗で巧妙な攻撃者から身を守る必要があります。場合によっては、攻撃が国家によって行われることもあります。悪いサイバーセキュリティインシデントは、事業運営、財務、評判に重大な損害を与える可能性があります。適切に計画された迅速な対応が不可欠です。それが、CSIRTが提供するものです。
現在、CSIRTの役割はITとセキュリティのさまざまな分野に溶け込んでいます。たとえば、企業にSOCがある場合、SOCを実行するチームはCSIRTと連携し、おそらくCSIRTの手順を使用します。場合によっては、CSIRTの従来の業務の一部をテクノロジー自体が担っていることもあります。たとえば、SOARプラットフォームでは、ワークフローや脅威緩和プレイブックにCSIRTポリシーが組み込まれている場合があります。
CSIRTごとに構成は異なります。しかし、ほとんどのCSIRTは、ミッションを明確に定義するように人員とポリシーを組み合わせています。人員に関しては、CSIRTには通常、専任のメンバーからなるコアグループがあり、必要に応じてCSIRTと協力する専門家によって補完されます。チームメンバーには必ず、さまざまなバックグラウンドやスキルセットがあります。たとえば、Windowsシステムの防御に精通したエキスパートもいれば、Linuxに詳しいエキスパートもいます。コアチームはCSIRTにフルタイムで割り当てられる場合がありますが、多くの場合、それが行われるのは非常に大規模な組織です。ほとんどの場合、CSIRTチームメンバーにはIT部門やサイバーセキュリティ部門での「日常業務」があります。
ポリシーに関しては、CSIRTのミッションステートメントと関連領域の定義に加えて、CSIRTがどのように機能するかを定める一連の文書を作成し、管理します。たとえば、CSIRTには通常、中心的なインシデント対応計画があり、チームがオンサイトのインシデント対応プロセスを処理する方法と、電話によるインシデント対応を処理する方法を書面で定めています。この計画では、CSIRTが複数の構成者グループにチームリソースを割り当てることで、インシデント対応を調整する方法を明らかにします。
この取り組みの一環として、CSIRTはフォームと連絡先一覧を公開し、CSIRTが関与する組織内の各グループに共有します。これは不要な手順のように思えるかもしれませんが、これまでの経験から言うと、セキュリティインシデントが発生した場合、重要な関係者は誰に連絡すべきかわからないことがよくあります。たとえば、CEOのラップトップが盗まれた場合、管理アシスタントはCSIRTに連絡すべきであることを知っているか、単にITヘルプデスクに電話しますが、ITヘルプデスクにはCSIRTを稼働させるための明確な指示が必要である可能性があります。
また、CSIRTは社内のポリシーや手続きに関する多くの文書をまとめます。この文書では、CSIRTの機能、インシデントへの対応方法、誰が何をするのか、インシデントレポートの作成方法などについて説明します。
これらのポリシーの詳細は、CSIRTの構造によって異なります。CSIRTを確立するための一般的な組織アプローチには、次のようなものがあります。
PSIRT(製品セキュリティインシデント対応チーム)はCSIRTに似ていますが、企業の製品のセキュリティ面に重点を置いています。たとえば、企業がコンピューターハードウェアを製造している場合、PSIRTは製品で発生したセキュリティインシデントに対処する責任を負います。つまり、製品がサイバー攻撃の標的になっている場合、製品のファームウェアのパッチを継続的に適用したり、顧客のインフラを修復したりします。
構造的には、PSIRTはCSIRTと同様です。サイバーセキュリティ、情報テクノロジー(IT)、コンプライアンスの補完的な分野の専門家で構成されています。組織的には、PSIRTは通常、会社の安全なエンジニアリング組織内に配置されます。このようにして、PSIRTは会社の安全な開発ライフサイクル(SDL)に貢献します。また、PSIRTは要件収集プロセスに関与し、リスクモデリングに関するアドバイスを提供し、安全な最終製品の作成を支援する場合もあります。
CSIRTは、効果を発揮するために、サイバー脅威をリアルタイムで検知、分析、緩和するように設計された高度なテクノロジーを活用します。不可欠なツールには次のものがあります。
業務遂行能力のあるCSIRTを構築するためには、どのようなことが必要でしょうか。ベストプラクティスは、CSIRTの可用性の最大化(24時間対応)からチームメンバーのクロストレーニングまで、多岐にわたります。物事を行う方法を知っていて、いざというときは他の人の仕事をする能力がある人が多いほど、CSIRTの効果は高まります。一般的なベストプラクティスとして、継続的なトレーニングがあげられます。優れたCSIRTは、常にスキルベースを構築し、活動を改善しています。リスクとシナリオをモデル化し、CSIRTがどのように対応するかをリハーサルすることは有益です。また、組織全体のエグゼクティブレベルの支持者と関係を築くことも賢明な方法です。CSIRTにはコストがかかるため、景気の良くない時期にはその存在に疑問が投げかけられる可能性があります。そのため、上層部に支持者がいることは良いことです。
CSIRTの重要な機能は、インシデント評価を実施することです。これは、さまざまなサイバー脅威に対する組織の脆弱性を評価するのに役立ちます。この評価では、組織のインフラ、セキュリティプロトコル、インシデント対応機能を評価し、サイバー犯罪者が悪用する可能性のある弱点や、法執行機関が関与すべき場合を特定します。
不正アクセスやバックドアマルウェアの感染につながる可能性のある新しいソフトウェアの脆弱性、誤設定、従業員の慣行を特定するためには、定期的な評価が必要です。また、ボット、クリプトマイニングマルウェア、DDoS攻撃など、ますます巧妙化する攻撃ベクトルに備えるためにも役立ちます。
サプライチェーン攻撃のリスクが高まっていることを考慮すると、徹底的な評価には、社内システムの見直しだけでなく、組織のベンダー環境の評価も含まれます。注目度の高いデータ漏えいの多くが示しているように、組織のセキュリティの強さはその最も弱いリンクと同等になります。
CSIRTは、サイバーセキュリティ戦略を成功させるために不可欠な要素です。これは、重要なシステムがダウンしたり、データ漏えいが発生したりした場合、現代のいかなる企業も大きな混乱とコストに直面するからです。CSIRTは、このようなイベントによるビジネスへの最悪の影響を緩和できます。CSIRTのメンバーは集合的に、サイバーセキュリティインシデントに迅速かつ効果的に対応できる専門知識を持っています。また、攻撃の防止を支援します。CSIRTにはポリシー作成権限があるため、セキュリティプロセスが現代化し、自動化が進むにつれ、CSIRTの役割は後退するどころか拡大しています。
CSIRT(コンピューターセキュリティインシデント対応チーム)は、いくつかの方法で組織のサイバーセキュリティ体制を強化します。高度な脅威インテリジェンスを活用して、迅速なインシデント対応を提供し、セキュリティ意識の文化を促進します。サイバー緊急対応チームにより、インシデントが迅速に特定、封じ込め、緩和され、潜在的な損害とダウンタイムが最小限に抑えられます。さらに、チームは新たな脅威を継続的に監視および分析することで、全体的なセキュリティ回復力を強化します。
CSIRTの業務に不可欠なツールとテクノロジーには、リアルタイムの監視とアラートのためのセキュリティ情報およびイベント管理(SIEM)システム、インシデントを調査して証拠を収集するためのフォレンジックツール、新たな脅威に関する最新情報を把握するための脅威インテリジェンスプラットフォームなどがあります。さらに、エンドポイント検知応答(EDR)ソリューションは、可視性の確保と脅威検知に不可欠です。
これらのツールにAPIを統合することで、 シームレスなデータ共有と自動化が促進され、サイバー緊急対応チームの効果が向上します。さらに、堅牢なSOCはすべてのCSIRT活動の中核であり、インシデント対応の取り組みを調整し、プロアクティブなセキュリティ体制を提供します。
サイバーセキュリティインシデントに直面した場合、CSIRTは体系的なアプローチに従う必要があります。コンピューター緊急対応プロセスは、異常や脅威を検知するための監視から始まります。特定されたら、インシデントの拡散やさらなる損害の発生を防ぐために、封じ込めに注力します。封じ込め後は、根絶の取り組みへシフトし、脅威を無効化します。復旧では、事業運営を正常な状態に戻すことに重点を置きます。インシデント後の徹底的な分析により、インシデントの根本原因を把握し、影響を評価し、コンピューター緊急対応戦略を改良します。
このプロセス全体を通じて、関係者とのコラボレーションと継続的なセキュリティテストは、効果的なインシデント解決に不可欠です。さらに、製品セキュリティインシデント対応チーム(PSIRT)は、特定の製品関連インシデントに対処するための専門知識と知見を提供できます。
CSIRTの有効性の測定には、さまざまな主要指標の追跡が含まれます。インシデント対応時間は非常に重要です。これは、脅威に迅速に対処するチームのアジリティを表します。解決率は、どれだけ効率的にインシデントが緩和され、システムが復元されているかを示します。ステークホルダー満足度調査は、CSIRTのコミュニケーション、コラボレーション、全体的なパフォーマンスに関する貴重なフィードバックを提供します。
さらに、インシデントが事業運営やAPIセキュリティに与える影響を評価することで、チームの有効性に関する知見を得ることができます。これらの指標を定期的にレビューすることで、組織は改善すべき領域を特定し、CSIRTが常にサイバー脅威からの保護に精通するようにすることができます。
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。
