今回は、組織内CSIRT(Computer Security Incident Response Team)や組織内SOC(Security Operation Center)、インシデントレスポンスサービスなどについて解説します。
最近、情報セキュリティ企業などから、組織内CSIRT、そしてさらに専門特化した組織内SOCの構築支援や運用支援のサービス、インシデントレスポンスサービスが数多く提供されるようになりました。
コンピュータのネットワークがまだそれほど普及していなかった頃、ネットワーク上に存在するデータは限定的で、そのデータの重要度や機密度もそれほど大きくはありませんでした。情報を狙うなど悪事をたくらむ人物もやはり限られており、攻撃の方法もそれほど多くはありませんでした。
しかし、今となっては玉石混合、ネットワーク上にはありとあらゆるデータが存在するようになり、もはやネットワーク上に存在しない情報の方が少ないのではないかというほどです。
それに比例して、数あるデータの中でも特に価値の高い、希少で重要なデータを狙う犯罪者も爆発的に増えています。それも今や単独犯から小人数の仲間による犯行どころか、大規模な犯罪組織の存在をうかがえるようになり、犯行の手口も多種多様かつ巧妙化の一途をたどっています。
よく「インシデントの発生理由はセキュリティポリシーが適切に運用されていなかったからだ」という意見を目にすることがありますが、これは一概にそうとは言い切れないと感じます。攻撃と防御のイタチごっこ、とはよく聞きますが、ゼロデイ攻撃など先手を取られることがますます増えているこのご時世、組織内の担当者がどれほど気を付け、既存のセキュリティ対策を施していても、重要な情報を守り切れるとは言えないのが実情です。
現状を単独の組織が打開することは非常に困難であるため、みんなで情報を共有して助け合おうという考えが、こうした最近のCSIRT/SOC設置、運用(支援サービスの提供)の理由の1つにあります。
CSIRTというのは、情報セキュリティのインシデント(事件や事故)に対処するための機関の総称です。この機関は、最新の脆弱性情報や世界中で発生したインシデントとその関連情報、攻撃の予兆情報などの各種情報を収集、分析することと、分析結果に基づいて各種脅威への対応方針やその手順をまとめた防御策の策定、そして実際にインシデントが発生した場合の一連の対応などを主な役割とします。