CSIRT構築の最前線

CSIRT構築の最前線--実効性を確保するために - (page 3)

岩本高明

2015-12-16 07:30

有事の専門家派遣サービス活用のポイント

 CSIRT要員の見積もり方について述べてきたが、実際には難しい点が残る。それは、有事対応の業務量をどう見積もるかである。定常業務と比べ、有事対応業務では、攻撃の高度性(難易度)によっても対応時間は変わってくる。

 また、インシデント自体の発生頻度を見込むことは難しい。過去の実績から推定するやり方もあるが、正確に予測できたら苦労はないわけで、有事対応は「起きる時は起こる」し、「起きない時は起きない」と割り切って考るのが現実的だろう。

 1つの解となるのは、CSIRT要員の外部調達である。有事対応の期間、事前の契約に基づき外部専門家の派遣を受けることで、常設のCSIRT要員を削減することができる。また高度な攻撃に対する対応要員の能力確保の問題も一定程度カバーされる。

 実際に、各セキュリティ関連会社から、さまざまなインシデント時の駆け付けサービスが展開されている。

 ただし、ここでも重要なのは、「実効性」をいかに確保するかにある。そのためのポイントは、自社環境に対する「習熟度」と「即時性」がある。

 「習熟度」は、CSIRTの3つのリソース「プロセス(対応業務の流れ)」「人(関連する組織、登場人物)」、「IT(活用すべきITインフラ)」について、どれだけ理解しているかにある。いかに専門家とはいえ、自社環境に習熟していない中で、有事対応全体をサポートするには限界がある。もちろん、スポット的な技術対応(例:PC端末のフォレンジック)などはその限りではないため分けて考える必要がある。

 「即時性」は、いかに早期に外部専門家を受け入れられるかにある。インシデント発生直後の即時対応が非常に重要であることは前稿で述べたが、外部委託先からの派遣が、発生から1日後、もしくは2~3日後になるようであれば、後の祭りである。

 外部要員の活用は有効な手段であるが、「自社環境に習熟した」「早期派遣可能」な要員が確保されることを事前に確認しておくことが前提と考える。

CSIRTの対象組織--初期時と展開時

 CSIRTを立ち上げる際には、CSIRTの枠組みをどこまで適用するかを考えることになる。ここでの推奨は、立上げ時の初期フェーズと、拡大時の展開フェーズとを分けて考えることである。まずは、本丸となる組織単位に対して、早期に有事の対応体制を整備することが重要である。

 展開フェーズはそのプロトタイプを活用することで、効果的に推進が可能である。立ち上げ時の本丸としてどこまでの組織を含むべきかについては、当該組織を取り巻く脅威や保有する情報資産など多角的に検討することになる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]