2020年に世界中で拡大した新型コロナウイルス感染症(COVID-19)により、私たちは幾つもの大きな変化に迫られました。閉塞的な生活や企業活動の変化に直面しつつも、情報技術の新たな活用により、多くの人がこれまでになかった恩恵を得て、その重要性を再認識しました。例えば、飲食店が注文・支払い・配達までをアプリケーション一つで行える仕組みを導入したり、企業の業務もリモートで就業できる仕組みが強化されたりしました。しかし、これらの技術は利便性や企業の生産性を高める一方で、サイバー犯罪者に多くの攻撃機会を与えています。
では、COVID-19が引き起こした変化に企業はどのように対応し、IT環境の安全性とビジネスの継続性を実現すべきでしょうか。一つの解として、情報セキュリティにおけるインシデント対応体制の強化が考えられます。本記事では、企業の情報セキュリティインシデントに対応する「インシデント対応組織(CSIRT)」の変遷から、COVID-19のまん延によってもたらされた現在の変化を捉え、これからのCSIRTに必要なアプローチについて考えていきたいと思います。
CSIRTとは?
CSIRTとは「Computer Security Incident Response Team」の略で、一般的に「シーサート」と呼ばれています。直訳すると、「コンピューターセキュリティインシデントに対応するチーム」です。
コンピューターセキュリティインシデント(以下、インシデント)とは、「情報および制御システムの運用におけるセキュリティ上の問題として捉えられる事象」と定義されています。新聞やテレビなどでも度々報道されている個人情報の流出やランサムウェア感染(身代金型攻撃)などは、企業にとって大きな損失を発生させる重大なインシデントといえます。
企業はその損失を避けるべく、セキュリティソリューションの導入や情報規制などの管理策を、何重にも講じてきました。残念なことに、優れたソリューションを導入したとしても、インシデントの発生頻度が下がるだけで、重大なインシデントが無くなるわけではありません。CSIRTは自社のセキュリティ管理策を集中的にコントロールし、インシデントの発生を未然に防ぐことはもちろん、インシデントが発生した後の被害を最小限に抑えるという、2つの重要な任務を与えられたチームなのです。
なお企業によっては、同じ役割を別のチームが担っていることもあります。その一例が、インシデントの検知に重点を置いたチームとして考えられている「SOC(Security Operation Center:セキュリティ監視センター)」です。本稿では混乱を防ぐため、インシデント対応を担うチーム全般の呼称として、CSIRTに統一します。
CSIRTのイメージ(日本シーサート協議会より)