CSIRTの「千里の道も一歩から」

今、情報セキュリティ業界では「CSIRT」が流行中です。CSIRTという言葉は使わなくても、セキュリティ事故対応の体制や手順の見直し・再構築をされるお客様が多くいらっしゃいます。
その背景として、昨今、情報セキュリティの事故が多発している、不正アクセス等を試みるサイバー・セキュリティ攻撃が増加していることがあります。また、2020年に東京オリンピック開催など国内外で大きなイベントがあると関係サイトに対しての攻撃が増えることから、今から対策を実施するといったことがあります。
実際、大規模な個人情報漏えい事件、標的型攻撃などサイバー・セキュリティ攻撃の高度化、影響の大きな脆弱性の発見といったこともあり、企業規模の大小、業界を問わずにセキュリティ事故および事象を含めて対応策を見直し、強化する必要があります。

●CSIRTとは何か?

CSIRTは正式にはComputer Security Incident Response Teamです。日本語訳にすると「コンピュータ セキュリティ インシデント 対応 チーム」です。
「セキュリティインシデント」とは何でしょうか。その一般的な定義は「情報セキュリティ事故および情報セキュリティ事故に繋がる可能性の高い事象」というものです。つまりCSIRTとは機密情報の漏えいやコンピュータウィルスの感染、Webサイトの改ざんなど実際に発生したセキュリティ事故への対応のみならず、脆弱性情報や事故が発生する前の怪しい状況等への対応をするということになります。
「そのようなことは既にやっている」という声もよく聞きますが、CSIRTは単なるセキュリティインシデント対応以外に、他の組織のCSIRTと信頼関係を結んで情報交換を行い、協力してインシデント対応を行うことも重要な活動です。

●事故発見!で、どこに連絡?

情報セキュリティ事故の対応の第一歩は適切な担当者へのエスカレーションです。情報セキュリティ事故が発見されたとき、発見者はどこに連絡すればよいか明確になっているでしょうか?社内の情報セキュリティ担当者?上司?ヘルプデスク?どこに連絡をするのか決まっているでしょうか?さらに、その次のプロセスでも適切な担当者までエスカレーションできるようになっているでしょうか?
情報セキュリティ事故の発見者は社外の人である場合もあります。例えば、顧客個人情報の漏えいなどの場合は顧客自身からの問い合わせで発覚する場合もあります。そのような社外の人からの問い合わせ先、その先のエスカレーションパスなどを整備しておくのは、事故の対応の第一歩として非常に重要です。

●対策決定の最終判断は誰?

情報セキュリティ事故を発見し適切な担当者へエスカレーションしたら、次のステップは事故への対応です。発生した事故がどのようなものなのかによって対応は変わりますが、ある程度頻繁に起こり得るような事故については、対策手順などのマニュアルを作成しそれに従って事故対応するのが効率的です。例としては、ノートPCやUSBメモリ等の紛失、単純なウィルス感染等が上げられます。よほど大規模なものでない限り、対策手順などを定めたマニュアルに従い一次対応をしていくのが一般的です。
では、「個人情報が漏えいしているのではないか」との問い合わせが顧客から来た場合や「会社のホームページにアクセスしたらウィルスに感染した」というような連絡を受けたような場合にはどうすべきなのでしょうか。
対応としては、被害の拡大の抑止、状況分析、原因追究、復旧、再発防止といったことをやっていかなくてはいけないのですが、対応策を決定する際には事故がどの程度ビジネスに影響するのかを考慮して対応策を決めることが重要です。
例えば、事故の状況によってはその対策としてシステムを停止し会社業務の一部を停止させなければならない場合もあり得ます。業務を停止させるような場合、その影響による会社の損失がどのくらいになるのか、といったことを考える必要もあります。もし、業務停止による損失が大きい場合には、システムの復旧を最優先として事故原因の追究等は後回しという対応方針にする必要があるかもしれません。
そのように発生した事故対応においてビジネスの視点からの判断が必要になる場合がありますが、それを誰が責任をもってやるのかを決めておかないと、事故対応を間違ってしまうことになりかねません。

●実行部隊への権限付与とリソースの確保

決めた事故対応方針を実行に移す際にもいろいろ細かなことが必要です。ある一定規模以上の会社や組織の場合、関係する各部門との調整や協力の依頼が必要になります。各部門の理解と協力がもらえないと必要な対策が取れない場合もあります。
例えば、事故が発生している部署における事故原因調査への対応、業務システムの一時停止(利用停止)、それらに伴う業務プロセスの変更、プレスリリース作成・公開への協力、外部協力企業への業務委託の発注、事故対応に必要なスキルをもった人材のアサイン等々、事故対応の実行部隊だけではできないことが多くあります。
そのためには、その実行部隊が事故対応時において必要な活動ができるようにすること、また事故対応に必要なリソースを社内から調達可能とするなど権限を与える必要があります。

●まずは、一歩を踏み出してみる

これらの役割を担い、迅速・適切に対応するのがCSIRTですが、CSIRTを立ち上げる際に大事なことは、完璧を求めないで立ち上げて、まずは動いてみるということだと思います。会社や組織によってCSIRTにかけられるコストや人員確保の問題、会社内・組織間の利害関係の問題もあるため、CSIRTの形としても専任のメンバーによる独立部署型、兼務メンバーによる部署横断型、個人型などがあり、CSIRTの対象範囲も各社各様になるのは当然のことです。事故はいつ発生するかは分からないので、不完全でもいいから立ち上げることが重要だと思います。
CSIRTの役割の中で優先すべきは、インシデント発生後の対応を担うこと(インシデントハンドリング)、脆弱性や脅威の情報を整理し、社内で共有すること(サイバー攻撃の予防・検知措置)、インシデントへの対応力を高めること(サイバー攻撃に対する教育訓練・演習)の3点です。
これらの達成を目標に、1~3年程度のロードマップを策定し、じっくりと取り組んでください。
形式にとらわれず、まずは始めてみて、改善・変更を重ねつつ、「よりベター」なCSIRTを目指していくのが良いのではないかと思います。

** コラム執筆 **
株式会社マインド・トゥー・アクション
中島浩光