CSIRTとは！サイバーセキュリティのためには必要？基礎知識から徹底解説します！

CSIRTとは

概要

CSIRTは、「Computer Security Incident Response Team」という言葉の、英単語の頭文字をつないだ略語で、直訳するとコンピュータセキュリティ事件対応チームという意味になります。読み方としては、シーサート、または、シーエスアイアールティーと呼称されることが多いです。

また、一般的にはCSIRTという略語が用いられることが多いですが、「Cyber Incident Response Team」という言葉を略した、CIRTという略称も用いられることもありますので、参考情報として伝えておきます。

読み方が判明したところで続けて、CSIRTがどういうものか、直訳の内容と照らし合わせて説明させていただきます。簡単にまとめると、コンピュータセキュリティ(Computer Security)に関する事件や問題(Incident)の対応をする組織(Response Team)といった意味になります。

補足説明

直訳の内容だけでも、大まかなイメージは掴めたかもしれませんが、もう少し理解を深めるために少し補足をさせていただきます。

コンピュータセキュリティに関する事件や問題というのは、具体的な事例で言うと、サイバー攻撃や情報漏洩、不正アクセス等のことを指しています。ですので、上記で挙げたような問題の対応を行う、チーム・部署・組織・機能等のことを総称した呼称が、CSIRTとなります。

CSIRTの歴史

最初に設置されたのは1988年

上の概要説明の内容だけを見ると、IT関連の単語という点もあり、結構最近の話かと思われがちですが、CSIRTの歴史は意外と古いです。

1988年にアメリカで流行したマルウェア「モリスワーム」の対策を行うために、カーネギーメロン大学内でチームが結成され対策を行ったのが、CSIRTの起源と言われています。この頃からすでにマルウェアの脅威が存在していたのは少し驚きですね。

その活動をキッカケに世界各国でも同様の活動が行われるようになり、各国の事例に関する情報収集や共有を行うための組織「FIRST」が1990年に設立され、今に至る、といった経緯になっています。その流れはもちろん日本も例外ではなく、1996年に、「JPCERT/CC」という組織が発足され、2001年頃からCSIRTの普及活動を積極的に進めています。

主な組織例や担当業務

よく用いられる組織例は3種類

CSIRTの組織例としては、正式に決まった形というものは存在しません。ですが、よく用いられる形として、下記の3種類のパターンのいずれかの形が採用されることが多いので、そちらについても確認をしてみましょう。

・独立した部署として実施

組織の内部で独立した部署を設立しCSIRTを設置する方法です。

・複数の部署を横断して実施

組織の内部に存在する複数の部署から横断的にCSIRTを設置する方法です。

・個人単位で実施

部署やチームといった形式に捕らわれず、個人単位で協力してCSIRTを設置する方法です。概要説明にて組織やチームという単語が多く出てきたので、意外に思われるかもしれませんが、個人単位で実施するというのも、主な方法の一つとして数えられます。

担当業務は大きく分けると6タイプ

CSIRTは担当する業務やターゲットによって、大きく6種類のタイプに分類することができますので、こちらも確認しておきましょう。

・Internal CSIRT

自分の組織やその顧客に関するインシデントに対応する業務で、組織内シーサートとも呼ばれます。企業で行う一般的なCSIRTはここに分類されることが多いです。

・National CSIRT

国や地域に関連したインシデントに対する問い合わせ等の業務が該当し、国際連携シーサートとも呼ばれます。JPCERT/CCもこちらに分類されます。

・Coordination Center

多様なCSIRTやインシデント対応の連携や調整を行う業務になります。読み方はコーディネーションセンターで、上で挙げたJPCERT/CCやCERT/CCもこちらに分類されます。また、協力関係にあるグループや企業間の連携を行うこともあります。

・Analysis Center

分析センターとも呼ばれ、インシデントの傾向やマルウェアの攻撃痕を分析したり、マルウェアの解析を行う、といった業務が該当します。必要に応じて、マルウェアの攻撃に対する注意喚起を行うのもこちらの業務です。

・Vendor Team

自社で提供している製品の脆弱性に対応するためのパッチ作成や注意喚起等を行います。読み方はベンダーチームです。

・Incident Response Provider

こちらの名称は、インシデントレスポンスプロバイダと読みます。セキュリティベンダーやセキュリティオペレーションセンターといった、組織内におけるCSIRT機能の一部を有償で請け負うプロバイダー業務のことを指します。

分類に関しては以上の説明となります。もしかしたら、察しのいい方は気付かれたかもしれませんが、上で記載してあるJPCERT/CCの様に、複数のタイプを受け持つことも珍しいことではありませんので、そちらも情報として覚えておきましょう。

主な構築プロセス

構築プロセスは8つに分類される

続けて構築プロセスのご紹介に入りたいと思います。主な構築プロセスは下記のとおりです。

・経営層から理解を得る

・組織内の現状把握

・組織内CSIRT構築活動のためのチーム結成

・組織内CSIRTの設計と計画

・必要な予算やリソースの獲得

・組織内CSIRT関連規則類の整備

・CSIRT要員(スタッフ)への教育

・CSIRTの告知と活動開始

今回は主なプロセスがどういうものかを紹介するだけにさせていただきます。こちらの詳細について知りたい方は、「FIRST」の会員になっている日本の団体「JPCERT/CC」が公開している、『CSIRTマテリアル』という資料に詳細が説明されていますので、そちらをチェックしてみてください。

参考URL：https://cybersecurity-jp.com/security-measures/26260

CSIRTはなぜ必要なのか？

ここまで、CSIRTに関しての説明をいくつかしてきましたが、なぜ必要なのか？という点に関しても触れさせていただきます。

ITの使用が一般的になった為

こちらに関しては、皆さんもすでに実感されているかもしれませんが、会社で業務を行う際、個人で何か調べ物をする際等に、パソコンやインターネットを使用するのが当たり前になっていますよね？また、IT環境は現在進行形で増えており、ITを使用しないケースの方が少ない社会になった、と言っても過言ではないくらいです。

こういった状況において、企業や会社でITに関するトラブルが発生した際、被害が甚大になるケースが容易に想像できますので、対策は必須と言えるでしょう。

サイバー攻撃等の脅威に備える為

上でも記載した通り、現代の社会ではITの普及が広まっていますが、それに伴い、サイバー攻撃の脅威が大きくなっているのも事実です。サイバー攻撃を受けた際に何も対策が取れていないと、保有している個人情報や機密情報の漏洩、システムが正常に稼働しなくなり業務が行えなくなる、システムののっとりや遠隔操作等の被害に合うケースが考えられます。

また、そういった問題にあったことや対策がうまく取れていないことが世間に広まってしまうと、取引先や顧客からの信用を失うことにもつながりますので、こういった問題への対処を怠る行為は、得策とは言えないでしょう。

まとめ

ここまでCSIRTに関しての説明をいくつかしてきましたが、どんなものなのかイメージは掴めましたでしょうか？

ITの普及が広がり続ける一方で、セキュリティ的な脅威の複雑化や攻撃方法の巧妙化も進んでいるのも事実です。残念ながら、CSIRTを設置すればそういった問題に対して100%の防止策や改善がとれる、とはいきません。

ですが、設置しておくことでスムーズな問題解決や、同じような問題に合わない為の防止策をとることにはつながっていきますので、この機会に設置を検討してみるのはいかがでしょうか？