脆弱性情報ハンドリング
脆弱性ハンドリングについても少し述べておく(ここでの脆弱性とは、ソフトウェアの脆弱性を指す)。ポイントの1つとして、緊急度の考え方がある。ここでは、脆弱性対策情報ポータルサイト(Japan Vulnerability Notes:JVN)の共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)が参考になる。CVSSの全項目を考慮して判定することは現実的に難しいケースもあるため、企業として重要視する項目を検討し、自社の環境や考え方とフィットさせていくことが有効だ。そのことが、脆弱性ハンドリング業務自体の負荷軽減や不要な社内展開による混乱などを防ぐことにつながる。
また、脆弱性情報を的確にハンドリングするためには、自社ソフトウェアの構成管理するテクノロジも必要だろう。この点も次回以降で解説する。
CSIRTの定着化--規程体系への組み入れ
継続的なインシデント対応力の向上に繋げるためには、CSIRTを企業に定着化させ、インシデント対応ルールを従業員に遵守させていくことが重要だ。そのため、整備が進んだ段階で、既存規程体系への組み入れを進めることになる。
企業によっては、ITマネジメント系と情報セキュリティ系の規程体系が存在する場合もあるだろう。また最高情報セキュリティ責任者(CISO)と最高情報責任者(CIO)、IT部門とセキュリティ部門のどこがインシデント対応ルールを所管するかなど、いくつかの整理のポイントがある。また、事業継続計画(BCP)を整備済みの企業においては、BCPの枠組みの中に組み入れることも候補の1つとなるだろう。
既存の規程体系やレポートラインなどとの関係性や整合性を踏まえた上で、組み入れ方を決めることが重要だ。
まとめ
本稿では前後編に分け、以下のポイントについて解説した。
- インシデントの定義を明確化することが、CSIRTの枠組みの明確化に繋がる
- CSIRTの業務範囲はさまざまであり、企業の目的に応じて選択になる
- インシデントハンドリングでは、即時対応の具体化が重要
- 定常業務では、脆弱性情報ハンドリングを取り入れるべき
- 規程体系への組み込みにより、組織への定着化を図る
- デロイト トーマツ サイバーセキュリティ先端研究所 岩本 高明
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員。大手システムインテグレータ、コンサルティング会社等を経て2011年に監査法人トーマツに入所。金融、大手製造業、中央省庁、IT企業をはじめとする多様な業種・業界に対して主にITセキュリティ、セキュリティマネジメントに関するリスクコンサルティング、セキュリティインフラ設計・構築支援、および監査サービスを多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャー)等の資格を有する。
