セキュリティの論点

組織内CSIRT/SOCのあり方--即時の意思決定体制が不可欠 - (page 2)

中山貴禎(ネットエージェント)

2014-05-15 07:30

 ここで取り上げる組織内CSIRTというのは、自組織とその顧客に関わるインシデントに対応することを目的とした機関です。ちなみに「○○サート」という言葉の響きから、多くの人はまずセキュリティ機関の「ジェーピーサート」(JPCERT/CC)を連想するかもしれません。このJPCERTは「国際連携CSIRT」(National CSIRT)、そして「コーディネーションセンター」(Coordination Center)と呼ばれる機関の1つです。

 国際連携CSIRTとは特定の国や地域に関連したインシデントに関連する各種問い合わせの窓口であり、コーディネーションセンターとは協力関係にある他のCSIRTとの情報連携、調整を担う機関です。

 公式サイトから引用すると、JPCERT/CCは「特定の政府機関や企業からは独立した中立の組織」として「報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から」実施する機関となっています。

CSIRTを構築する理由

 組織内CSIRTは、JPCERTなど外部の他CSIRTと連携して最新の攻撃手法やその分析情報を共有して対策に役立てたり、万が一自分たちが気付かない内に攻撃されていた、インシデントが発生していた場合には、連携している外部のCSIRTなどから情報を提供してもらう窓口の役割も担います。

 ところで、現実に組織内CSIRTを設立するとなった場合、専門部署として設立されるケースは、特に中小企業では少なく、各部署から本来業務と兼務で数人がピックアップされるケース、場合によっては特定の個人に丸投げといったケースも少なからずあります。

 そして残念ながら、もし複数名を担当者とした場合でも、各スタッフの日々の通常業務が多忙で結果的に「幽霊部員」的な状況に陥いり、CSIRT自体が誰も活動していない、どこにも実態がない名前だけの存在と化してしまう、なんていうケースもありえます。

 組織内CSIRTを設立する理由は、インシデントの発生を速やかに検知し、対応を始めることにあります。SOCはCSIRTの一部を担う機関ですが、「インシデントレスポンスプロバイダー」とも呼ばれ、さまざまなセキュリティデバイスの運用管理と24時間365日の常時セキュリティ監視、分析とリアルタイムのインシデント対応などをうたう、専門的な部隊です。こうした機能を持つ部隊を社内に自前で設置、運用するのは、現実問題としてそう容易ではありません。

 こうした、自前で構築したり運用したりが困難な部分を、一部アウトソースでまかないましょうというのが、最近の組織内CSIRT、組織内SOCの構築支援や運用支援のサービス、インシデントレスポンスサービスの概要です。

 組織内のみで運用するのが困難なタスク、そもそも構築自体が難しい高度な体制などを肩代わりしてくれるサービスを活用すれば、仮に中小企業であっても(コストの問題を無視すれば)高度なインシデントマネージメントが可能となります。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]