サイバー攻撃の脅威が日々高まる中、「CSIRT(シーサート)」を設置する企業が年々増えているといわれています。

しかし、「そもそもCSIRTとは何なのかについて、よく分からない」という人も多いのではないでしょうか。

そこで本記事では、CSIRTの概要と重要性、昨今では当たり前となってきた、CSIRT体制でのデジタルフォレンジック技術の有効活用ついて解説します。

CSIRTとは?CSIRTの重要性と日本における設置状況について


IT
テクノロジーが発展していくにつれて、サイバー攻撃の脅威も日々高まっています。

そのような中、サイバー攻撃から企業の大切な情報資産を守るために、「CSIRT」を設置する企業が増えてきているといわれています。

CSIRTとは、Computer Security Incident Response Team」の略語から呼ばれているもので、「コンピュータセキュリティに関する事故対応チーム」という意味を持っています。つまり、「サイバー攻撃の脅威から企業の重要な情報資産を守るために作られた、社内のコンピュータセキュリティの専門チーム」といえるでしょう。


サイバー攻撃の手口は高度にカスタマイズされ、年々巧妙になってきています。あらゆる対策を行っても完全に防ぐことは難しいといえるのではないでしょうか。外部からのサイバー攻撃に対して、「セキュリティ事故は起こってしまうのは仕方ないこと」という前提もあります。それを踏まえたうえで、万が一サイバー攻撃でセキュリティインシデントが発生した際に速やかに対応できるような仕組みを整えるのが、CSIRT設置の目的です。


CSIRT
は、アメリカで1988年に流行したマルウェア「モリスワーム」の対策として生まれ、カーネギーメロン大学内に設置されたのをきっかけに、世界各国で同様のCSIRTが作られるようになりました。日本では、1996年に「JPCERT/CC」という組織が設立されて、セキュリティ事故対策の取り組みが開始されています。

CSIRTは、サイバー攻撃などから企業を守るために重要な役割を果たすものになります。IPA(情報処理推進機構)が公開している「企業のCISOCSIRTに関する実態調査2017(報告書)」(https://www.ipa.go.jp/files/000058850.pdf)によると、CSIRTの名称で設置している割合は「22.6%」で、CSIRTという名称は使っていないものの、同様の役割を果たす組織を設置している割合は「44.2%」となり、合わせると「66.8%」という結果になっています。

出典)IPA 調査 「企業のCISOCSIRTに関する実態調査2017(報告書)」


この数字は、米国や欧州よりも低いものの、約7割の企業が設置していることになります。


CSIRTにはインシデントの対応にあたるために必要なノウハウや技術を社内に伝えたり、インシデント報告の窓口を設けたりする機能、経営層へ報告する機能があります。また、「外部の組織団体やセキュリティベンダーと連絡を取る」「最新のインシデントに関する情報を集める」という機能があることも特徴です。

このようなインシデントを専門的に扱う組織があることで、万が一の際にも落ち着いた対応がとれるでしょう。なお、CSIRTを設置する方法としては組織の内部で独立した部署として扱う「独立部署」、複数の部署から横断的に構成される「部署横断」のほかにも、個人単位というケースもあります。


企業にCSIRTを設置する場合は、必ずしもインシデントのみを扱う部署として独立させなくてはいけないわけではありません。構成ルールが決まっているわけではないので、どのような形であっても問題はありませんが、インシデント対応を専門的に行う機能が備わっていることが重要となるでしょう。

CSIRT体制で有効活用されるデジタルフォレンジックの重要性


昨今の高度にカスタマイズされたサイバー攻撃を対処するために非常に有用な手段として、「デジタルフォレンジック」の技術が期待されています。


「フォレンジック」という言葉は、「法廷の」という意味があり、法的証拠を見つけるための鑑識調査や情報解析に伴う技術や手順のことをいいます。また、「デジタル」という言葉と繋げてデジタルフォレンジックという用語では、パソコンやスマートフォンといった電子機器に蓄積されているデジタルデータに法的証拠能力を持たせる手続きのことを指しています。

デジタルフォレンジックの特徴は、OSのカーネル層のデータまで深くデータ解析が可能であるため、削除や改ざんされていない生のデータ解析や復元、暗号化されたデータですら解析が可能なことです。


デジタルフォレンジックはもともと、IT犯罪が起きた際の捜査で利用されていました。しかし、デジタルデータを扱う企業が増えてきたことにより、IT犯罪だけでなく幅広い事件の捜査や立証にも利用されるようになってきたのです。

実際に、すでに日本国内で起きている「不正アクセス事件」や企業の「機密情報や個人情報の漏えい事件」など、さまざまな事件の際に法的証拠を集めることを目的として採用されている取り組みとなっています。


犯行が行われた際に、サーバーやネットワークの深層ログを解析したり、生のデータを抽出したりすることで、実際に犯行が本当に行われていたのかを裏付けること(証拠解析)ができるようになるでしょう。

デジタルデータの復元をすることもできるため、削除や改ざんが行われてしまっても、元のデータを見ることが可能です。暗号化されたデータですら見ることもできます。

 

一般的なサイバー攻撃の侵入経路で利用されるサーバーやメール、WEBサイトなどのデジタルデータは、法的証拠となるため、高度に削除や改ざん、暗号化されてしまうことが一般的です。しかし、デジタルフォレンジックを活用することで、隠すことが難しい仕組みを作っていけるといえるでしょう。


このような背景から、最近のCSIRT体制では、デジタルフォレンジック業務を取り入れることは当たり前となってきています。

従来、デジタルフォレンジック技術は、セキュリティインシデントが発生した後の、有事の際の証拠解析として利用されていました。しかし、最近では、事故が発生した有事の際だけではなく、平時の日常的な業務で、デジタルフォレンジックを活用する「アクティブ・フォレンジック」が注目されています。

 

アクティブ・フォレンジックが必要とされる背景や目的は以下となります。

・アラートのトリアージや残留脅威の検知/駆除のため

・セキュリティポリシー違反や内部不正への対応

・未知のサイバー攻撃に対して組織のセキュリティ耐性を高めるため

 

アクティブフォレンジックの導入で、CSIRTメンバーのスキルアップ、経営者やステークホルダーに対する説明能力の向上が見込めるでしょう。

まとめ

 
いかがでしょうか。デジタルトランスフォーメーションに取り組む企業が増え、企業内でデジタルデータを扱う業務も年々増えてきています。

一方で、サイバー攻撃の手口は日々進化し、これから多種多様なインシデントが発生するセキュリティリスクは高まるばかりです。

問題が発生してから慌てて取り入れるのでは手遅れになってしまう可能性が高く、企業の重要な情報資産を守るためにもCSIRTを設置し、万が一の事態に備えて、平時から問題意識を持って、フォレンジック業務に取り組むと良いでしょう。