ここで取り上げる組織内CSIRTというのは、自組織とその顧客に関わるインシデントに対応することを目的とした機関です。ちなみに「○○サート」という言葉の響きから、多くの人はまずセキュリティ機関の「ジェーピーサート」(JPCERT/CC)を連想するかもしれません。このJPCERTは「国際連携CSIRT」(National CSIRT)、そして「コーディネーションセンター」(Coordination Center)と呼ばれる機関の1つです。
国際連携CSIRTとは特定の国や地域に関連したインシデントに関連する各種問い合わせの窓口であり、コーディネーションセンターとは協力関係にある他のCSIRTとの情報連携、調整を担う機関です。
公式サイトから引用すると、JPCERT/CCは「特定の政府機関や企業からは独立した中立の組織」として「報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から」実施する機関となっています。
CSIRTを構築する理由
組織内CSIRTは、JPCERTなど外部の他CSIRTと連携して最新の攻撃手法やその分析情報を共有して対策に役立てたり、万が一自分たちが気付かない内に攻撃されていた、インシデントが発生していた場合には、連携している外部のCSIRTなどから情報を提供してもらう窓口の役割も担います。
ところで、現実に組織内CSIRTを設立するとなった場合、専門部署として設立されるケースは、特に中小企業では少なく、各部署から本来業務と兼務で数人がピックアップされるケース、場合によっては特定の個人に丸投げといったケースも少なからずあります。
そして残念ながら、もし複数名を担当者とした場合でも、各スタッフの日々の通常業務が多忙で結果的に「幽霊部員」的な状況に陥いり、CSIRT自体が誰も活動していない、どこにも実態がない名前だけの存在と化してしまう、なんていうケースもありえます。
組織内CSIRTを設立する理由は、インシデントの発生を速やかに検知し、対応を始めることにあります。SOCはCSIRTの一部を担う機関ですが、「インシデントレスポンスプロバイダー」とも呼ばれ、さまざまなセキュリティデバイスの運用管理と24時間365日の常時セキュリティ監視、分析とリアルタイムのインシデント対応などをうたう、専門的な部隊です。こうした機能を持つ部隊を社内に自前で設置、運用するのは、現実問題としてそう容易ではありません。
こうした、自前で構築したり運用したりが困難な部分を、一部アウトソースでまかないましょうというのが、最近の組織内CSIRT、組織内SOCの構築支援や運用支援のサービス、インシデントレスポンスサービスの概要です。
組織内のみで運用するのが困難なタスク、そもそも構築自体が難しい高度な体制などを肩代わりしてくれるサービスを活用すれば、仮に中小企業であっても(コストの問題を無視すれば)高度なインシデントマネージメントが可能となります。
