CSIRTをめぐる5つの誤解：うまく運用できないCSIRTを作らないために（3/6 ページ）

[山賀正人，＠IT]

誤解2：CSIRTは事後対応のみを行う

　CSIRTが「Computer Security Incident Respose Team」の略であり、その「Incident Respose」という言葉の意味から、インシデント発生後の対応のみを行うチームのように見られがちですが、それは違います。

　世界で最初のCSIRTである米国CERT/CCが提供している資料（表1：JPCERT/CCによる邦訳）によれば、一般的なCSIRTのサービスには「事後対応型サービス」だけでなく、侵入検知サービスやセキュリティ関連情報の提供などの「事前対応型サービス」、さらに、教育やトレーニング、啓発（意識向上）などの「セキュリティ品質管理サービス」も含まれています。

表1　CSIRTが提供する一般的なサービス（出典：JPCERT/CC「コンピュータセキュリティ インシデント対応チーム（CSIRT）のための ハンドブック」の「表4：一般的な CSIRTサービスのリスト」）

　一般に、発生したインシデント（自組織内に限らない）に関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施することを「インシデントマネジメント」と呼びます。CSIRTとはこの「インシデントマネジメント」の中核を担うものであり、事後対応としての「インシデントレスポンス」はその一部にすぎないのです（図2参照）。

図2　「インシデントレスポンス」は「インシデントマネジメント」の一部（出典：JPCERT/CC「インシデントハンドリングマニュアル」）

　ただし、インシデントマネジメントの全てをCSIRTのみで行うわけではありません。あくまで「中核を担う」立場であり、必要に応じて個々のサービス（機能）をCSIRT以外に任せる、場合によっては外部の専門業者にアウトソーシングすることもあります。