こんにちは。
クラウドサービス開発部の齋藤です。
弊社にはCSIRT MTおよびCSIRT MT.mssという製品があり、個人的にはCSIRTという用語には親しんでいるつもりですが、本記事ではCSIRTについて改めて考えてみたいと思います。
■CSIRTの定義
-
CSIRT(シーサート)はComputer Security Incident Response Teamの略語。
文字通り、組織内でコンピュータのセキュリティインシデントに対応するチームのことです。
定義だけ読むと、「社内のシステム担当者だけが関係する話でしょ?」という話になってしまいそうですが、ITの普及によりセキュリティインシデントが企業だけでなく一般の消費者にまで与えるインパクトが大きい昨今では、「対岸の火事」と傍観することはもはやできなくなってきています。
経済産業省では「サイバーセキュリティ経営ガイドライン」内で明確に、「影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT 等)を整備させる。」と記載しており、CSIRTは、経営者・CISO(Chief Information Security Officer 最高情報セキュリティ責任者)の直下の組織とされています。
経済産業省では「サイバーセキュリティ経営ガイドライン」内で明確に、「影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実施するための組織内の対応体制(CSIRT 等)を整備させる。」と記載しており、CSIRTは、経営者・CISO(Chief Information Security Officer 最高情報セキュリティ責任者)の直下の組織とされています。
出典:経済産業省 サイバーセキュリティ経営ガイドライン https://www.meti.go.jp/policy/netsecurity/mng_guide.html
■CSIRT設置割合と実際の役割
CSIRTがCISOと共に企業のIT戦略の中で重要なチームであることはお分かりいただけたかと思います。
それでは企業内にCSIRTが設置されている割合はどの程度なのか、そして実際にどのような役割を担っているのでしょうか?
IPAが2016年に行った調査(「企業のCISOやCSIRTに関する実態調査2017」報告書)によると、
- CSIRTを設置している企業の割合
日本=22.6%
米国=55.6%
欧州=32.9% - CSIRTが担う役割で重要と考えるものトップ3(日・米・欧でほぼ同様)
・情報セキュリティ関連の脅威・脆弱性情報の収集・分析・対応
・セキュリティ監査・評価
・セキュリティツールの管理・運用
となっています。
同調査で興味深いのが、
CSIRTを設置したものの、期待したレベルを満たしていると解釈していない日本 という調査結果が出ていることです。 - CSIRT 等の有効性の全体評価として、「期待したレベルを満たしている」とした企業の割合
日本=18.4%
米国=60.8%
欧州=45.4%
CSIRTを設置したけれども、効果的に運用できている日本企業はまだまだ少ないようですね。
これについては、日本には日本シーサート協議会が存在していますので、加盟して他社事例を学ぶことも有効です。
また、限られた予算・人員で効率的にCSIRTを運用するためにツールを利用するのも一つの手です。
最近では、PSIRTやF/MSIRTといった用語も耳にするようになりました。
CSIRTが単なる「セキュリティ対策チーム」ではなく、CSIRTは「各企業の経営戦略を基盤にしたものであり、その活動自体が企業価値の向上につながる」ということがますます認知されていくでしょう。
CSIRT運用の高度化と工数削減を実現させるツール:CSIRT MT / CSIRT MT.mss
