NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
background-image-careers
2018.3.27技術トレンド/展望

自組織に合ったインシデント対処体制を構築していますか?

多くの企業でCSIRT等のインシデント対処体制の構築が進められています。しかしながら、「とりあえずCSIRTを構築してみたものの、有事の際にきちんと機能するかわからない」といった声もしばしば耳にします。本記事では、組織の実状に合致したインシデント対処体制に必要なポイントをご紹介します。

インシデント対処体制の現状

情報処理推進機構(IPA)が公開した「企業のCISO(*1)やCSIRT(*2,3)に関する実態調査2017」(*4)によると、日本企業では欧米に比べると比率は低いものの、66.8%がインシデント対処体制を構築していることがわかります。(図1)

しかしながら同調査では、対処体制を構築済みの企業のうち24.7%がその有効性が期待したレベルに達していないと評価していることも示されています。(図2)

また、「とりあえずCSIRTを構築したものの、能力不足や具体的な実施内容が明確化されておらず、有事に適切に機能するかわからない」といった声を耳にすることもあります。

CSIRT等の設置状況

図1:CSIRT等の設置状況

CSIRT等の有効性の全体評価

図2:CSIRT等の有効性の全体評価

  1. *1 CISOとは、Chief Information Security Officerの略であり、最高情報セキュリティ責任者のことを指します。
  2. *2 CSIRTとは、Computer Security Incident Response Teamの略であり、コンピュータセキュリティにかかるインシデントに対処するための組織のことを指します。
  3. *3 NTTデータ IT戦略を考える“Innovation EYE” [第52回]サイバー攻撃に対応できる組織づくりと、人材の育成 1.CSIRTとは
    http://www.nttdata.com/jp/ja/insights/innovation_eye/2016080301.html#section-01
  4. *4 情報処理推進機構(IPA)企業のCISOやCSIRTに関する実態調査2017
    https://www.ipa.go.jp/files/000058850.pdf(PDF:107ページ, 3,672KB)(外部リンク)

インシデント対処体制のあるべき姿

では、インシデント発生時に適切に対処できる体制というのは、果たしてどのような体制なのでしょうか。

本記事では、「インシデント対処体制に求められる役割」と「役割分担」の2つの観点に分けてご紹介します。

インシデント対処体制に求められる役割

CSIRTと聞くと、マルウェア解析やフォレンジック等の技術的な対処を行う組織をイメージする方も多いかもしれませんが、企業等のインシデント対処として最も肝心なことは、「インシデント発生を速やかに認知」し、「収束に向けて適切に対処すること」です。

そのために必要となるインシデント対処体制の基本的な役割として以下が挙げられます。(*5)

  • インシデントやその可能性の報告受付
  • インシデントの評価
  • 幹部等への報告
  • 企業内の関係部門への対処に関する指示・助言
  • 企業内のインシデント情報や対処状況の一元管理

上記以外にも、インシデント対処体制に求められる役割について、関連団体が発行している文書(*6,7)にまとめられていますので、自組織の特性に合わせて盛り込むべき機能が漏れていないか確認するとよいでしょう。

  1. *5 内閣官房内閣サイバーセキュリティセンター(NISC)府省庁対策基準策定のためのガイドライン(平成28年度版)基本対策事項2.1.1(6)-1
    https://www.nisc.go.jp/active/general/pdf/guide28.pdf(PDF:300ページ, 3,089KB)(外部リンク)
  2. *6 日本セキュリティオペレーション事業者協議会(ISOG-J)セキュリティ対応組織の教科書 v2.0 5. セキュリティ対応組織の役割
    http://isog-j.org/output/2017/Textbook_soc-csirt_v2.0.pdf(PDF:59ページ, 1,727KB)(外部リンク)
  3. *7 日本シーサート協議会 CSIRT人材の定義と確保(Ver.1.5)3.対象とするCSIRTの役割と業務内容
    http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf(PDF:55ページ, 2,144KB)(外部リンク)

役割分担

上記のインシデント対処体制の役割について、すべてをCSIRTで担う企業もあれば、CSIRTに加えて総務担当部門やシステム運用部門等の複数の部門で分担する企業もあると考えられます。後者の企業ではCSIRTと他の部門の連携も含めて、必要な役割が各部門に明確に割り当てられていることが肝心です。

また、ログ解析やフォレンジック等の技術的な対応については、企業内のリソースでは対応できない部分も当然ながら発生すると思われます。そのような役割については、アウトソースできるように準備しておくことが望まれます。

アウトソースを含めたインシデント対処体制の考え方については、関連団体が発行している文書(*8,9)が参考になります。

  1. *8 日本シーサート協議会 CSIRT人材の定義と確保(Ver.1.5)5.CSIRTのモデルと実装例
    http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf(PDF:55ページ, 2,144KB)(外部リンク)
  2. *9 日本セキュリティオペレーション事業者協議会(ISOG-J)セキュリティ対応組織の教科書 v2.0 6. セキュリティ対応組織の役割分担と体制
    http://isog-j.org/output/2017/Textbook_soc-csirt_v2.0.pdf(PDF:59ページ, 1,727KB)(外部リンク)

終わりに

あなたの組織のインシデント対処体制は、インシデント発生時に組織全体として必要な対処が行えるようになっているでしょうか。

ぜひ本記事と記事内で紹介した各文書を参考に見直しを行ってみてください。

お問い合わせ