CSIRTの実効性確保と効率的な運用（後編）

前編（R-225101）では、CSIRTの必要性と実効性確保への取り組みについて述べた。後編となる本稿では、CSIRTを効率的に運用するために必要不可欠な情報活用と、それを実現するコミュニティへの参加と情報発信／提供の重要性について取り上げる。本稿に示したコミュニティの活用も視野に入れ、自組織のセキュリティ体制の成熟度向上に努められたい。

効率的なCSIRT運営に不可欠な情報活用

前編で述べたように、インシデントが発生した際、緊急対応の中核組織のひとつとなるのがCSIRTである。CSIRTを効率的に運用するためには、インシデントに関連する情報の活用が欠かせない。中でも、他組織が実際に経験したインシデント対応の知見や警戒している攻撃情報は、最も実践的で信頼度が高い情報となるため、積極的に取得すべきである。こうした情報は、平時には脅威の兆候の早期把握や対策の参考として、またインシデント発生時には迅速な初動判断や影響把握の一助として有効である（図1）。

図1．他組織からの情報の活用方法

情報活用の重要性については、前編で示した「サイバーセキュリティ経営ガイドライン Ver.3.0」の重要10項目のひとつに、「サイバーセキュリティに関する情報の収集、共有及び開示の促進」として言及されている（図2・指示10）。

図2．サイバーセキュリティ経営の重要10項目

また、同ガイドラインでは、情報活用を怠った場合のセキュリティリスクが以下のように指摘されている。企業はこのようなリスクも考慮し、他組織とのコミュニケーションを深め、インシデントに関する情報の収集／共有／開示を積極的に行うべきである。

“情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、新たな攻撃情報が入手できず、対策が遅れ、さらには標的となるリスクの増加につながる。”