CSIRTの業務の全体像
インシデントとは何か--CSIRTのハンドリング対象は明確になっているか
CSIRTはインシデントに対応する組織であるわけだが、それでは「インシデント」とは何ですか、と質問したときに、意外と明確に答えられないケースがある。この定義がしっかりしてないと、CSIRTに必要となるリソース(人、プロセス、技術)がうまく見積もれず、また見積もったとしても後で大きくぶれる場合など、そもそもCSIRTの全体像がイメージできなくなってしまう。
そのため、CSIRT立上げの最初の段階で、CSIRTがハンドリング対象とするセキュリティ事象とは何かを明確にし、関係者で共有を図ることが重要となる。
整理するためにはいくつかの軸が考えられる。例えば5W1Hがある。
例)整理の軸
整理軸 | 対象とするインシデント | ||
---|---|---|---|
攻撃者(Who) | 外部犯行者 | 従業員 | ・・・ |
動機(Why) | 意図的 | 偶発的 | ・・・ |
発生場所(Where) | 社内インフラ | 社外クラウド | ・・・ |
攻撃対象(What) | 電子データ | 物理情報(紙) | ・・・ |
攻撃手法(How) | 標的型メール | マルウェア感染 | ・・・ |
5W1Hの要素を抑えた上でインシデントとは何かを考えることで、組織に応じて備えるべき「インシデント」のイメージや定義を明確化することができる。
例えば、外部犯行者による、社内インフラに存在する電子データを狙った意図的な攻撃――といった具合になる。
インシデントの定義は組織に応じてさまざまあるが、ここで参考までに、サイバーセキュリティ基本法における「サイバーセキュリティ」の定義と金融庁における「サイバーセキュリティ事案」の定義を紹介する。特に金融庁の定義はある程度落とし込まれているので、各企業にとっても参考になるだろう。
参考)政府機関でのサイバーインシデントの定義
用語 | 主な特徴 | 原文より抜粋 | |
---|---|---|---|
サイバーセキュリティ基本法 | サイバーセキュリティ | 従来の「情報セキュリティ」と比べて、紙などの物理媒体は含まれない | 電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置 |
金融庁監督指針 | サイバーセキュリティ事案 | サイバーセキュリティ基本法の定義に加えて、「悪用」かつ「サイバー空間経由」であると定義 | サイバーセキュリティ事案とは、情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃などの、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。 |
また、別の観点で悩みどころとなるのが、CSIRTが対象とするインシデントの「深刻度」をどう考えるかである。攻撃を検知した段階では、その攻撃がどこまで深刻な被害を及ぼすか判断が難しいケースが多い。既に深刻な被害が発生しているケースは一発アウト、いわゆる「ブラック」なイベントでありインシデントとしてCSIRTで対応を進めればよい。
これはある意味わかりやすいが、問題となるのは「グレー」なイベントである。今後被害に発展する可能性が高いイベントから、可能性の低いイベントなど、多くはグレーゾーンの中にあり個々のイベントによりグレーの濃さは異なってくる。このグレーなものの判断を誤り見過ごしてしまうと、その後に予期しない大きな被害発覚に繋がること場合があることを意識しなければならない。
例)インシデント定義の明確化(イメージ)
解決策の1つは、インシデントの定義に加えて、セキュリティ事象全体の中で、インシデントにつながる恐れのある事象とそうでない事象の要件などを確認し、境目を明確にしておくことである。そのことが、インシデントを見過ごしてしまうリスクを低減する上でも肝要だ。その上で、CSIRTのハンドリング対象としてどこまでのセキュリティ事象を含むのか、目的に応じて決定することになる。
「実効性のある」CSIRT実現のポイントについて、前編ではCSIRTの業務の全体像のうちインシデントに対する考え方を説明した。後編ではCSIRTの業務とは何かを解説する。
- デロイト トーマツ サイバーセキュリティ先端研究所 岩本 高明
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員。大手システムインテグレータ、コンサルティング会社等を経て2011年に監査法人トーマツに入所。金融、大手製造業、中央省庁、IT企業をはじめとする多様な業種・業界に対して主にITセキュリティ、セキュリティマネジメントに関するリスクコンサルティング、セキュリティインフラ設計・構築支援、および監査サービスを多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャー)等の資格を有する。