CSIRTをめぐる5つの誤解:うまく運用できないCSIRTを作らないために(3/6 ページ)
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。
誤解2:CSIRTは事後対応のみを行う
CSIRTが「Computer Security Incident Respose Team」の略であり、その「Incident Respose」という言葉の意味から、インシデント発生後の対応のみを行うチームのように見られがちですが、それは違います。
世界で最初のCSIRTである米国CERT/CCが提供している資料(表1:JPCERT/CCによる邦訳)によれば、一般的なCSIRTのサービスには「事後対応型サービス」だけでなく、侵入検知サービスやセキュリティ関連情報の提供などの「事前対応型サービス」、さらに、教育やトレーニング、啓発(意識向上)などの「セキュリティ品質管理サービス」も含まれています。
表1 CSIRTが提供する一般的なサービス(出典:JPCERT/CC「コンピュータセキュリティ インシデント対応チーム(CSIRT)のための ハンドブック」の「表4:一般的な CSIRTサービスのリスト」)
一般に、発生したインシデント(自組織内に限らない)に関する情報の集約と蓄積を通して、場当たり的ではない包括的な対策を検討・実施することを「インシデントマネジメント」と呼びます。CSIRTとはこの「インシデントマネジメント」の中核を担うものであり、事後対応としての「インシデントレスポンス」はその一部にすぎないのです(図2参照)。
ただし、インシデントマネジメントの全てをCSIRTのみで行うわけではありません。あくまで「中核を担う」立場であり、必要に応じて個々のサービス(機能)をCSIRT以外に任せる、場合によっては外部の専門業者にアウトソーシングすることもあります。
Copyright © ITmedia, Inc. All Rights Reserved.