セキュリティマイスターコラム 第16回

組織内CSIRTの立ち上げ、優先順位はどうする?
検討に役立つ実用的なドキュメントとは

組織内CSIRTやSOC(Security Operation Center)を設置することの重要性は理解しつつも、設置のための第一歩を踏み出せない、とお悩みではないでしょうか。自組織に必要な機能は何か、具体的に何から取り組めばいいのか、そんな悩みを解決してくれるドキュメントを紹介します。

CSIRTの計画から運用までフェーズごとに「何をすべきか」

組織内のCSIRTとSOCの構築/運営を検討する際の参考資料の多くは、最終的に準備すべきことのみが書かれており、「最初にすべきこと」「次に取り組むべきこと」というように、段階的に何をすべきかが分からないという相談を受けます。

そこで、今回、組織内CSIRT(Internal CSIRT)」の構築・運営について、「構想」「構築」「運用」と段階的に取り組む際のおすすめドキュメントを紹介します。

ここでは、組織内CSIRTを構築する過程をフェーズ1~3までに分けて、次のような内容で紹介しています。

  • フェーズ1:CSIRT構想フェーズ
  • フェーズ2:CSIRT構築フェーズ
  • フェーズ3:CSIRT運用フェーズ

CSIRT構築の各フェーズで取り組むべきことを知りたい場合には、ぜひ参照してみてください。

CSIRT初期構築時に不可欠な「CSIRT 記述書」のフォームと作成例

JPCERT/CCのCSIRTマテリアルのサイトには、私が「CSIRT初期構築時に必要な3点セット」と呼んでいるものの1つである「『CSIRT 記述書』のフォームと作成例」があります。ちなみに、3点セットの他の2つは「体制図、ロール(役割)定義表」と「インシデントハンドリングマニュアル」です。

CSIRT/SOC構築初期段階で使えるドキュメントサンプルや記入例を探す

日本シーサート協議会のウェブサイトには、「CSIRT 構築に役立つ参考ドキュメント類」というリンク集が公開されています。

国内ではJPCERT/CCやIPA 独立行政法人 情報処理推進機構、海外では欧州ネットワーク・情報セキュリティ機関(ENISA)など、様々な公的機関で組織内CSIRTを構築・運営するための参考ドキュメントが、リンク集で紹介されています。

この中には、先述のJPCERT/CCのCSIRTマテリアルのサイトのように、組織内CSIRSTやSOCの構築の初期段階で必要となるドキュメント類の書き方を作成フォームや作成例を交えて紹介した実用性の高い資料が多くあります。例えば、IPA 独立行政法人 情報処理推進機構では、「CSIRT構築前の検討事項」や「CSIRT構築のパッケージ」を記した「企業における情報セキュリティ緊急対応体制 ~組織内 CSIRT の必要性~」(https://www.ipa.go.jp/files/000039115.pdf)といったドキュメントです。

大規模CSIRT/SOC構築検討のためのベンチマーク

今回、私はこうしたリンク集に紹介されていない別なドキュメントを紹介してみます。 大規模CSIRT/SOC構築検討を行う際のベンチマークとして評価の高いドキュメントが「Ten Strategies of a World-Class Cybersecurity Operations Center」です。全334ページにわたる膨大なドキュメントで、米国MITRE(マイター)が、2014年10月にベストプラクティスとして公開しました。MITREとは米国政府の支援を受けた非営利団体であり、脆弱性を一意に識別するCVE番号を付与している団体です。

大規模CSIRTやSOC構築を検討している場合には、ぜひ、参照してみてください。

組織内CSIRTについての公的機関の見解を知りたい

「ベンダー固有の知見だけでなく、IPAやアメリカ国立標準技術研究所(NIST)のような公的団体の『お墨付き』として引用できる文献を紹介して欲しい」というリクエストも多く頂きます。そんなときには、先述の「Ten Strategies of a World-Class Cybersecurity Operations Center」を「一押し」として紹介しています。

特に、セキュリティ対応組織が提供する機能やサービスを整理した図(82~83ページ記載)は、縦方向に機能やサービス、横方向に組織の規模に応じて「何を備えるべきか」が整理されていて、非常にわかりやすく納得性が高いです。

「自前で持つもの」、「外部に任せるもの」は何か

「Ten Strategies of a World-Class Cybersecurity Operations Center」は、組織規模に応じてなにを準備すべきか検討する際にも有用です。以下に示す凡例のように、組織規模に応じて「外部組織で代替可能ならば自組織で持たなくてもよいエリア」や「ミッションとの兼ね合いから持つべきでは無いエリア」が明確に定義されています。

[図] 出典:Ten Strategies of a World-Class Cybersecurity Operations Centerの「Table7. Service Templates」(一部抜粋)

【凡例】
B:Basic、自組織で部分的もしくは基本的な能力を持つべきエリア
A:Advanced、自組織で充分な能力を持つべきエリア
O:Optional、外部組織で代替可能ならば自組織で持たなくてもよいエリア
-:Not Recommended、ミッションとの兼ね合いから持つべきでは無いエリア

グローバルサポートに「Follow the Sun」は有効か?

「Ten Strategies of a World-Class Cybersecurity Operations Center」は、国内ではあまり議論にならない「Follow the Sun」のメリットとデメリットについても言及しています。「Follow the Sun」とは、セキュリティ監視等のサービスを、地球上で太陽が昇っているエリアのビジネスアワーのメンバにて、通常は3拠点で切り替えながら24時間運用することです。こうしたグローバルな視点での記述もあり、網羅性は充分です。CSIRTを構築・運用して、24時間サポートを含めて実施したいとお考えの人は、ぜひ一度、興味のある部分だけでも目を通されることをお薦めします。

組織内CSIRTのアセスメントをしたい

CSIRTに必要なドキュメントやポリシー、必要なシステムやファシリティを含めて、どこまで準備をすれば、一定の品質を確保できるのでしょうか。以下に示す「FIRST Site Visit - Requirements and Assessment」が参考になります。

これは、FIRSTに加盟を希望する組織が、加盟するに相応しい成熟したCSIRTを構築・運用できているかを、Site Visit(現場査察)においてチェックされるときの要件と評価のガイドです。以下の6章で構成されており、項目ごとに「必須」か「推奨」なのかが明示されています。

  1. General items(一般的な項目)
  2. Policies(ポリシー)
  3. Workplace and environment(職場と環境)
  4. Contact information and information dissemination(連絡先と情報の配布)
  5. Professional development Planning(専門家の開発計画)

特に、「3. Workplace and environment」は、他のドキュメントではあまり言及されることのない、効率的かつ効果的にCSIRT作業を実行するためファシリティやシステム、環境について記載してあり、とても参考になります。

本コラムでは、組織内CSIRTを構築・運用する際に参考となるようなドキュメントを紹介しました。組織内CSIRTの重要性は理解していても、実際に立ちあげ、継続的に運用していくことに悩む企業も多いようです。

CSIRT構築の目的や取り組みに応じて、今回ご紹介したドキュメントをご活用いただければと思います。

富士通株式会社
山下 眞一郎
[ハイマスター領域]シニアセキュリティコーディネーター

富士通のMSS(マネージド・セキュリティ・サービス)である「GMSS」のデリバリに加え、富士通の組織内CSIRTであるFJC-CERT(富士通クラウドCERT)の創設当初からCSIRT立上げにも参画し運営。近年は最新のサイバー・スレット・インテリジェンスをグローバル規模で集約し、高度な分析を行う「FUJITSU Advanced Artifact Analysis Laboratory」を立上げ、運用を行っている。日経ITPro等への寄稿も多数あり、警察庁の委員も担当。

セキュリティマイスター紹介ページ

[写真]

2019年1月21日

関連サービス

「サイバーセキュリティ」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ