Updated again below: What Is Computer Security Incident Response Team? What is team responsibility? Who should be Sponsor of Team?
” What Is Computer Security Incident Response Team?” has been updated.
IPA「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」の概要
以上Updated again.
多くの日本企業が直面する「サイバーセキュリティー」の課題は2023年6月に投稿しましたが、「サイバーセキュリティーを組織としてどう高めるか」についておさらいします。そして教科書的な情報を紹介します。
まず数字による現状のおさらいです。
サイバー攻撃は国内拠点の復旧の平均は4.5日、ランサムウエアには平均13日。
過去3年間の日本企業(500人以上)の約6割弱がサイバー攻撃に遭遇し累計被害額は平均1億2528万円、ランサムウエアの被害に遭った企業の被害額は平均1億7689万円ほどです。トレンドマイクロとNPO法人CIO Loungeが2023年11月1日に公表した「サイバー攻撃による法人組織の被害状況調査」の結果
セキュリティ対策を阻害する要因の順番:
1位は「対策を行うためのスキルセットを持つ人材や専門組織が不足」で74.4%、
2位は「対策を行うための人材の数が不足」で63.3%。
3位は「予算が取れない、あるいは不足している」の25.9%。
人員不足が主因。
何がセキュリティ対策の阻害要因なのか?
(出典:トレンドマイクロ、CIO Lounge)
2023年2月データ(出典 ガートナー・ジャパン):
CSIRTの設置状況とインシデント発生時の自信について (日本企業(従業員300人以上))の56%がCSRITを設置、67%が迅速なインシデント対応に「自信がない」
CSIRTも日本でよく言われる皮肉、“箱物、コンクリート物は作るが、物の中に魂が入っていない。”、人の育成もできていない。
セキュリティに関する「専門組織」といえばCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)があります。日本を代表CSIRTはJPCERT/CCです。
おわりに
その1.過去を問う、現在を評価しても反省してもこれはフィードバックに過ぎない、Feed Forwardが必要、そこで 「情報セキュリティマネジメントの教科書」を紹介します。
- 情報セキュリティ読本 137ページ(独立行政法人 情報処理推進機構IPA)
- 情報セキュリティマネジメント合格教本 461ページ (技術評論社)、 CSRITはP162~165
- 「セキュリティ対応組織の教科書 第3.1版」 SOC(セキュリティ・オペレーション・センター)、日本セキュリティオペレーション事業者協議会(ISOG-J)2023年10月17日発行、手に触れてご覧ください。
その2.国際標準ISO27001の体系
何事も、「企業や組織の業種や形態にいかんを問わず、根底にあるマネジメントシステムに関する考え方や、取り組むべきこと、方向性をミッション頂上からすそ野をBird’s-eye viewで俯瞰(ふかん)し、そこからの視点に立ち、情報セキュリティのISO標準的に共通的な項目は統合する。そして体系的な仕組みを作り戦略的なCSIRTが動いている組織を作り上げることに役立ててください。
手順は業務憲章(JOB CHARTER)
を準備し、セキュリティ対応組織の存在の意義を定義する、そのあとはPDCA、(構築~運用~改善のサイクル)、そして役割分担:担うべき機能と内容、提供すべき具体的なサービス、自組織でやるべきか外部組織に頼るべきかといった役割分担
サイバー攻撃はいつでも戦争状態、有事平時はありません。箇条9の内部監査、マネジメントレビューを実施すること、そして仕組みを回すためのトップマネジメントの監査の結果について客観的な評価を公表する。
「メール添付文書をオープンしないでください!!」の警告文
こんなこと経験ありませんか。メールにアクセスするとIT部門から、「メール添付文書をオープンしないでください!!」の警告文、パソコンで仕事をして気が付くとプロジェクト企画書もe-mailも会議議事録も開けなくなり、突然どくろマークが現れ、「ファイルを取り戻したいなら、百マン$支払え」というメッセージが出る。ランサムウェアと呼ばれています。「ランサム」とは「身代金」の意味で、PC(データ)を人質にとって仕事を妨害し、その解放に身代金を要求する。
最近多いサイバーテロ
ほんの一例、読売新聞 昨年の6月7日 サイバー攻撃を受け、身代金要求型ウイルス「ランサムウェア」に感染し、約2か月間病院機能の一部が停止した病院では6月7日、議会協議会の有識者の調査報告書により、電子カルテシステムのセキュリティー対策ソフトを稼働させていなかったことが明らかになった。
ナゼ?
調査報告書によると、電子カルテシステムにアクセスするパソコンの端末が古く、新しいセキュリティー対策ソフトを入れると、システムの動作が遅くなる恐れがあった、電子カルテの販売事業者の指示でソフトの稼働が止められていた。ウイルスは、外部から電子カルテに接続する際に使う機器「VPN」から侵入した可能性が高いとみられている。
報告書は「対策ソフトがあれば攻撃は阻止できた可能性がある」とし、組織の危機意識が低く、対策を怠った事業者の責任も重いとの記事でした。 病院の事業管理者は「調査報告書を踏まえセキュリティー対策の構築について協議し、再発防止を図っていきたい」と述べた。
社標準でもそれを隅々まで読む社員は少ない
日本人は仕事に関係ある、たとえそれが社規程、社標準でもそれを隅々まで読む社員は少ないと感じます。ISO標準を読み解くのは少しの社員でしょう。このままでは日本は離れ小島の住人?
国際的な標準のISO/IEC27001及びシリーズ規格を理解し、活用し、サイバーテロの事前防護が緊急必須要件だと思います。そこでCSIRTの概要を説明します。
Computer Security Incident Response Team (CSIRT シーサート)
情報セキュリティに取り組む前に、“事故Incidentが起きた”時のCSIRTについて、考えてみましょう。 Computer Security Incident Response Team(CSIRT)は、情報セキュリティに関連する事故発生(インシデント)に対応するチーム、委員会、発生時のProject teamです。労働災害(OSHMS)での事故調査委員会(Incident Accidents Investigation Committee)に相当します。
初期調査から初動、情報を収集し原因分析、根本原因を探求し、再発防止策、類災防止策までを行います。CSIRTは、企業、団体、学校などの組織単位から、労働災害では国境を超えることは非常に少ないが情報セキュリティーでは国境を超えるケースが多くあります。また多岐にわたります。
CSIRTは組織に属する人全員に関係しています。 組織内CSIRT は、規格の箇条4.3 ISMSMSの適用範囲で発生したインシデントへの対応や、技術的な支援サービスを組織の内部、外部、利害関係者(顧客や関連企業、社員含む)に実施します。
組織内CSIRT の役割
・インシデント対応や技術支援サービス
・重要な役割は、ユーザーからの事故(インシデント)報告を受ける
・窓口を一本化し、ユーザーがインシデント報告をすることを伝える
・関連部門や関連委員会(CSR委員会)と適切な関係を保ち、状況に応じた動きをする。
(インシデント報告は時には、”なりすまし”もあります。)
・データ改ざん、書類の盗難、情報・電話盗聴などの対策もCSIRTの役割です。
チョットまとめ:
CSIRTとは、コンピュータセキュリティに関するインシデントに対応する専門的なチームのこと。
インシデントとは、組織の情報資産に対する不正なアクセスや攻撃、紛失や漏洩などの事象のこと。
CSIRTは、インシデントの発見や報告、分析や対応、復旧や再発防止などの活動を行う。
CSIRTは、組織内設置が推奨されています。日本は経済産業省による「サイバーセキュリティ経営ガイドライン」や、内閣サイバーセキュリティセンターによる「サイバーセキュリティ基本方針」を参考にしてください。CSIRTの設置は、組織のサイバーセキュリティを向上させるだけでなく、企業の信頼性や競争力を高めることにもつながります。
CSIRTを設置する様々な課題があります。以下をご覧ください。
- インシデントの定義
- 報告方法の統一
- 情報共有の仕組みやルールの策定
- CSIRTの役割や責任の明確化
- チームメンバーのスキルや役割の明確化
- 予算や人員の確保
- CSIRTのメンバーを選抜、教育や訓練を行う
- CSIRTの運用方法や手順を定める
- CSIRTの活動を評価し、改善すること、など。
情報セキュリティ社規程に上記の要件を盛り込み、さらに設置や運用に、組織トップからの支援や理解が不可欠です。
これらの要件反映に、国際的な基準やベストプラクティスが必要です、ISO(国際標準化機構)の情報セキュリティマネジメントに関する規程を紹介します。
ISOは、情報セキュリティーに関する標準(規程)
規程には、行うべきインシデント管理や脆弱性管理について、定義や原則、プロセスや手順などが示されています。また、他の組織やステークホルダーと連携に必要な情報共有や協力体制について言及されています。規程を参考にすると情報セキュリティーを効果的かつ効率的に運用することができます。また、国際的な基準に沿って運用することは、他の組織(海外の関連会社)やステークホルダーとの信頼関係を構築しやすくなります。
情報セキュリティに取り組むための「情報セキュリティマネジメントに関する国際規格」はISOのウェブサイトから入手できます。
最後に、
Computer Security Incident Response Team(CSIRT)について重複します、再度確認ください。
コンピュータやネットワークのセキュリティ・インシデントに対応する専門チームのCSIRTはコンピュータやネットワークに不正なアクセスや攻撃が行われた、情報が漏洩した事後のセキュリティ・インシデント、起きる前にインシデントの発生を早期に検知し、影響範囲を分析し、適切な対策を実施し、報告や教訓の共有を行うことで、組織のセキュリティレベルを向上させる役割を果たします。
CSIRTは、組織内に設置される内部CSIRTと、組織外に設置される外部CSIRTがあります。内部CSIRTは、自組織のインシデントに対応するチームであり、外部CSIRTは、他組織のインシデントに対応するチームです。外部CSIRTには、国家レベルのインシデントに対応する国家CSIRTや、特定の分野や地域でインシデントに対応するセクターCSIRT(情報セキュリティーは国境を超えるケースが多くあり、多岐にわたります)があります。
本稿は、CSIRT、情報セキュリティーの概要と役割を紹介しました。CSIRTは、サイバーセキュリティの重要な担い手であり、その需要は増加しています。
CSIRTだけでインシデントを防ぐのではなく、組織全体でセキュリティ意識を高めることが必要です。
Design Safety System