特集
» 2014年06月12日 18時00分 公開

CSIRTをめぐる5つの誤解うまく運用できないCSIRTを作らないために(3/6 ページ)

[山賀正人,@IT]

誤解2:CSIRTは事後対応のみを行う

 CSIRTが「Computer Security Incident Respose Team」の略であり、その「Incident Respose」という言葉の意味から、インシデント発生後の対応のみを行うチームのように見られがちですが、それは違います。

 世界で最初のCSIRTである米国CERT/CCが提供している資料(表1:JPCERT/CCによる邦訳)によれば、一般的なCSIRTのサービスには「事後対応型サービス」だけでなく、侵入検知サービスやセキュリティ関連情報の提供などの「事前対応型サービス」、さらに、教育やトレーニング、啓発(意識向上)などの「セキュリティ品質管理サービス」も含まれています。

表1 CSIRTが提供する一般的なサービス(出典:JPCERT/CC「コンピュータセキュリティ インシデント対応チーム(CSIRT)のための ハンドブック」の「表4:一般的な CSIRTサービスのリスト」)

 一般に、発生したインシデント(自組織内に限らない)に関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施することを「インシデントマネジメント」と呼びます。CSIRTとはこの「インシデントマネジメント」の中核を担うものであり、事後対応としての「インシデントレスポンス」はその一部にすぎないのです(図2参照)。

図2 「インシデントレスポンス」は「インシデントマネジメント」の一部(出典:JPCERT/CC「インシデントハンドリングマニュアル」)

 ただし、インシデントマネジメントの全てをCSIRTのみで行うわけではありません。あくまで「中核を担う」立場であり、必要に応じて個々のサービス(機能)をCSIRT以外に任せる、場合によっては外部の専門業者にアウトソーシングすることもあります。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。