セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くことがよくあります。そんな方に、セキュリティの頻出用語を解説します。今回は、「CSIRT」についてです。
近年、ますます高度化するサイバー攻撃に対抗するため、前回紹介したSOCと並び、CSIRT と呼ばれる組織を構築する企業が増えています。CSIRTとは、「Computer Security Incident Response Team」の略で、「シーサート」と読みます。
CSIRTのフルネームに、Incident Response(インシデントレスポンス)と入っているように、インシデントレスポンスを実施する組織です。インシデントレスポンスとは、ウイルス感染、不正アクセス、情報漏えいなどのセキュリティを脅かしている事象に対して、原因の調査、対応策の検討、サービス復旧などを適切に行うということを意味しています。
今までは、企業や組織は、その対処方法として、ファイアウォールやエンドポイントのウイルス対策製品、サンドボックスなどさまざまなセキュリティ対策製品を導入し、対策に当たってきました。つまり、まずは問題を起こさないことに注力してきました。
しかし、標的型攻撃をはじめ、サイバー攻撃手法が高度化している現在、ある程度被害を受ける可能性があることを想定しておくことが大切だと考えられるようになってきました。
そこで、セキュリティインシデントが起こることを前提に、被害を最小限に抑えるための組織作りの一環として、CSIRTを構築する企業や組織が、増えてきたのです。例えば、政府組織では、内閣サイバーセキュリティセンター内にある緊急対応支援チーム(NIRT:National Incident Response Team)は、CSIRTとして設立されています。
CSIRTはよく消防署に例えられます。火事が起きてから消防署の電話番号を調べる人がいないように、CSIRTの連絡先もサイバー攻撃が起こる前に用意して、周知する必要があります。
一方で、火事が発生して事後対応だけが、消防署の活動でしょうか?みなさんも、学校や職場で、消防署の方々による火事に対する安全指導を受講された人がほとんどだと思います。つまり、消防署の活動には、事前対策も含まれているのです。同様にCSIRTでも 技術的情報を提供したり、教育やトレーニングを実施したりすることが求められます。
では、よく質問にあがるSOCとCSIRTの違いは、どこにあるのでしょうか?
SOCは、導入製品を適切に運用し、セキュリティ上の脅威を監視に当たる組織、CSIRTは、セキュリティ事故が発生した際に緊急対応に当たる組織であるといえるでしょう。しかし、上記のようにCSIRTは、事後だけの対応を行う組織ではないことにも注意してください。
