CSIRT構築の最前線

CSIRT構築の最前線(前編)--インシデントとは何か - (page 2)

岩本高明

2015-11-11 07:30

CSIRTの業務の全体像

インシデントとは何か--CSIRTのハンドリング対象は明確になっているか

 CSIRTはインシデントに対応する組織であるわけだが、それでは「インシデント」とは何ですか、と質問したときに、意外と明確に答えられないケースがある。この定義がしっかりしてないと、CSIRTに必要となるリソース(人、プロセス、技術)がうまく見積もれず、また見積もったとしても後で大きくぶれる場合など、そもそもCSIRTの全体像がイメージできなくなってしまう。

 そのため、CSIRT立上げの最初の段階で、CSIRTがハンドリング対象とするセキュリティ事象とは何かを明確にし、関係者で共有を図ることが重要となる。

 整理するためにはいくつかの軸が考えられる。例えば5W1Hがある。

例)整理の軸

整理軸対象とするインシデント
攻撃者(Who)外部犯行者従業員・・・
動機(Why)意図的偶発的・・・
発生場所(Where)社内インフラ社外クラウド・・・
攻撃対象(What)電子データ物理情報(紙)・・・
攻撃手法(How)標的型メールマルウェア感染・・・

 5W1Hの要素を抑えた上でインシデントとは何かを考えることで、組織に応じて備えるべき「インシデント」のイメージや定義を明確化することができる。

 例えば、外部犯行者による、社内インフラに存在する電子データを狙った意図的な攻撃――といった具合になる。

 インシデントの定義は組織に応じてさまざまあるが、ここで参考までに、サイバーセキュリティ基本法における「サイバーセキュリティ」の定義と金融庁における「サイバーセキュリティ事案」の定義を紹介する。特に金融庁の定義はある程度落とし込まれているので、各企業にとっても参考になるだろう。

参考)政府機関でのサイバーインシデントの定義

用語主な特徴原文より抜粋
サイバーセキュリティ基本法サイバーセキュリティ従来の「情報セキュリティ」と比べて、紙などの物理媒体は含まれない電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置
金融庁監督指針サイバーセキュリティ事案サイバーセキュリティ基本法の定義に加えて、「悪用」かつ「サイバー空間経由」であると定義サイバーセキュリティ事案とは、情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃などの、いわゆる「サイバー攻撃」により、サイバーセキュリティが脅かされる事案をいう。

 また、別の観点で悩みどころとなるのが、CSIRTが対象とするインシデントの「深刻度」をどう考えるかである。攻撃を検知した段階では、その攻撃がどこまで深刻な被害を及ぼすか判断が難しいケースが多い。既に深刻な被害が発生しているケースは一発アウト、いわゆる「ブラック」なイベントでありインシデントとしてCSIRTで対応を進めればよい。

 これはある意味わかりやすいが、問題となるのは「グレー」なイベントである。今後被害に発展する可能性が高いイベントから、可能性の低いイベントなど、多くはグレーゾーンの中にあり個々のイベントによりグレーの濃さは異なってくる。このグレーなものの判断を誤り見過ごしてしまうと、その後に予期しない大きな被害発覚に繋がること場合があることを意識しなければならない。

例)インシデント定義の明確化(イメージ)


 解決策の1つは、インシデントの定義に加えて、セキュリティ事象全体の中で、インシデントにつながる恐れのある事象とそうでない事象の要件などを確認し、境目を明確にしておくことである。そのことが、インシデントを見過ごしてしまうリスクを低減する上でも肝要だ。その上で、CSIRTのハンドリング対象としてどこまでのセキュリティ事象を含むのか、目的に応じて決定することになる。

 「実効性のある」CSIRT実現のポイントについて、前編ではCSIRTの業務の全体像のうちインシデントに対する考え方を説明した。後編ではCSIRTの業務とは何かを解説する。

デロイト トーマツ サイバーセキュリティ先端研究所 岩本 高明

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員。大手システムインテグレータ、コンサルティング会社等を経て2011年に監査法人トーマツに入所。金融、大手製造業、中央省庁、IT企業をはじめとする多様な業種・業界に対して主にITセキュリティ、セキュリティマネジメントに関するリスクコンサルティング、セキュリティインフラ設計・構築支援、および監査サービスを多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャー)等の資格を有する。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]