CSIRT:「Computer Security Incident Response Team」
サイバー攻撃や情報漏洩といったコンピューターセキュリティ上の問題に対応する専門組織
Table of Contents(コンテンツ目次)
CSIRT*(シーサート)とは「Computer Security Incident Response Team」の略で、サイバー攻撃や情報漏洩といったコンピューターセキュリティ上の問題に対応する専門組織を指します。組織内のセキュリティ事故(インシデント)の被害を最小限に抑え、事業の継続性を確保する役割を担います。
* CSIRTの読み方は、一般的で広く知られている読み方はシーサート、シーエスアイアールティーと読む、英語圏(米国など)は「シー」と「サート」を組み合わせた「シースート」という読み方が一般的で、スィサート、クサールト(中近東)などもあります、ご参考にしてください。
202X年に発生したサプライチェーン攻撃とランサムウェア感染の複合的なインシデント発生時の会社名を「第7ジェームズボンド社」とします。その組織のCSIRT対応を時系列ストーリーとして紹介します。この事例は、想定インシデントです。事前準備:インシデントに備える平時のCSIRT活動数カ月前:
第7ジェームズボンド社のCSIRTは、平時から脅威インテリジェンスの収集に努めていた。定期的な脆弱性診断と社内システムのパッチ適用に加え、特にサプライチェーンを介した攻撃の動向を注視するよう、関係部署に注意喚起をしていた。また、サプライヤーとの情報共有体制を構築し、緊急時の連絡フローを明確化していた。数週間前:
CSIRTは、主要サプライヤーから、VPN機器の脆弱性に関する注意喚起と、直ちにパッチを適用するよう勧告を受け取った。CSIRTは、この情報が自社にも関連すると判断し、社内のネットワーク部門にパッチ適用を要請。しかし、VPN機器の利用状況が部門ごとに異なり、一部の端末でパッチ適用が遅れていることが判明した。インシデント発生前夜:
CSIRTの担当者は、遅れているVPN機器のパッチ適用について、改めて関係部門に督促メールを送信した。同時に、外部の脅威インテリジェンス情報から、特定のランサムウェアグループがVPN機器の脆弱性を悪用している事例が増えていることを察知。不審なアクセスを検知した場合の対応手順を確認し、SOC(セキュリティオペレーションセンター)との連携体制を再確認した。発生と初動対応:インシデントを検知し、封じ込めに動くインシデント当日(深夜):
SOCが異常を検知した。検知システムは、VPN接続経由で社内ネットワークに侵入した不審な通信と、内部のファイルサーバーで大量のファイルが不審な挙動を示していることを警告した。SOCの担当者は、直ちにCSIRTに報告し、インシデント対応を開始した。インシデント当日(早朝):
CSIRTのメンバーが緊急招集された。担当者らは、被害状況の確認、原因の特定、影響範囲の特定、封じ込めというインシデント対応の初期フェーズに突入した。
- 封じ込め: まず、感染したVPN機器と関連するネットワークセグメントを切り離し、感染拡大を阻止した。
- 被害調査: 感染したVPN機器から、特定のファイルサーバーに不正アクセスが行われ、ランサムウェアに感染していることが確認された。このランサムウェアは未知の亜種で、従来のウイルス対策ソフトでは検知されにくいタイプだった。
- 経営層への報告: CSIRTは、被害状況と今後の見通しをまとめ、経営層に報告。身代金要求に応じない方針を確認した。
復旧と再発防止:事業継続と信頼回復を目指す数日後:
- サプライヤーとの連携: CSIRTは、感染経路となったVPN機器について、サプライヤーと情報を共有し、技術的な協力を仰いだ。
- 原因分析と復旧: 原因がパッチ未適用のVPN機器の脆弱性であることが確定したため、パッチを適用して復旧作業を開始。ファイルサーバーは、隔離された安全なバックアップからデータを復元した。
- 外部との連携と情報公開: 被害の大きさを考慮し、監督官庁やJPCERT/CCといった外部機関に情報を提供。また、顧客や取引先への影響を最小限に抑えるため、インシデントの経緯と対策内容を公表した。*JPCERT/CC(ジェーピーサート/シーシー)とは、Japan Computer Emergency Response Team Coordination Centerの略称で、日本国内のインターネットで発生するコンピュータセキュリティインシデント(不正アクセスなど)に対応する技術的な情報提供組織です。特定の機関に属さない中立的な非営利組織であり、インシデントの報告受付、状況把握、手口分析、再発防止策の助言などを行い、国内外の関係機関と連携しながら情報セキュリティ対策の向上に取り組んでいます。
数カ月後:
- 再発防止策: CSIRTは、今回のインシデントの教訓を踏まえ、再発防止策を策定。VPN機器の脆弱性管理プロセスを見直し、全従業員に対するセキュリティ教育を強化した。
- サプライチェーン全体のセキュリティ向上: 脆弱性情報をサプライヤーと共有し、サプライチェーン全体のセキュリティレベルを向上させるための勉強会を開催した。
この一連の活動により、第7ジェームズボンド社は被害を最小限に抑え、事業を再開。CSIRTは、日々の活動がインシデント対応の迅速化に直結することを再認識し、継続的な改善を図っていった。
CSIRTの主な役割
CSIRTは、インシデント発生時の対応だけでなく、平時から多岐にわたる活動を行います。
- 事前対応(予防):
- セキュリティ関連情報の収集、分析、監視
- 脆弱性情報の管理
- セキュリティポリシーや規定の策定
- 従業員へのセキュリティ教育、啓発
防御の最大の弱点は、常に人間(ヒューマンエラー)にあります。技術的な盾がどれほど完璧でも、一つのパスワードの流出、一つのクリックの誤り、一つの設定ミスが、全ての防御を無力化します。
- インシデント発生時の対応:
- インシデントの検知と初動対応
- 被害範囲の特定、原因分析、封じ込め
- 関係部署への連絡や調整、外部機関との連携
- 事後対応(復旧・再発防止):
- システムやサービスの復旧
- 恒久的な対策の策定と実施
- インシデント対応のノウハウ蓄積と改善
-
CSIRTの設立
多くの企業や組織では、サイバー攻撃の高度化・頻発化を背景に、CSIRTの設置が進んでいます。-
- 設立の経緯: 1988年に発生したマルウェア「モリスワーム*」をきっかけに、アメリカで初のCSIRTが設立されました。日本では、1996年にJPCERT/CC*が設立されています。
*Morris wormとは、インターネット上で拡散した初期のワームの1つ。単にインターネットワームと呼ばれることもある。 数千台のマシンをサービス不能に追い込み、報道によって注目された世界初のワームと見なされている。*JPCERT/CC(ジェーピーサート/シーシー)とは、Japan Computer Emergency Response Team Coordination Centerの略称で、日本国内のインターネットで発生するコンピュータセキュリティインシデント(不正アクセスなど)に対応する技術的な情報提供組織です。特定の機関に属さない中立的な非営利組織であり、インシデントの報告受付、状況把握、手口分析、再発防止策の助言などを行い、国内外の関係機関と連携しながら情報セキュリティ対策の向上に取り組んでいます。 - 設立支援: 中小企業向けに、地域のCSIRTが設立支援や相談窓口を提供している例もあります。
- 参考情報: 日本シーサート協議会がCSIRT構築ガイドなどの資料を公開しています。
- 設立の経緯: 1988年に発生したマルウェア「モリスワーム*」をきっかけに、アメリカで初のCSIRTが設立されました。日本では、1996年にJPCERT/CC*が設立されています。
-
ちょっと知っておいてください。CSIRTとSOCの違い
CSIRTと似た組織に、SOC(Security Operation Center)があります。
- CSIRT: インシデント対応全般を担い、より戦略的な活動を行う。経営層への報告や外部機関との連携も含まれる。
- SOC: 主にインシデントの監視・検知・分析といった技術的な運用を専門に行う。
一般的に、SOCが監視でインシデントを発見し、その後の対応をCSIRTが担当するという連携体制を取ることが多いです
