CSIRTの実効性確保と効率的な運用（前編）

「侵害は避けられない」という前提でのセキュリティ対策が求められて久しい。このセキュリティ対策を効率的に運用管理するうえで欠かせない組織がCSIRTである。この組織の重要性については、経済産業省とIPA（情報処理推進機構）が公表した「サイバーセキュリティ経営ガイドライン Ver 3.0」でも記載されている。同ガイドラインの記載を基にして、前編となる本稿ではCSIRTの必要性と実用性確保への取り組みに言及し、後編ではCSIRT運用におけるコミュニティ参加の重要性を解説する。

インシデント発生を前提としたセキュリティ対策の必要性

国内でも、ランサムウェア攻撃やビジネスサプライチェーンを狙った攻撃、システムの脆弱性を突いた攻撃など、侵害の手口は年々巧妙化している。こうした状況から、「いずれ侵害を受け、インシデントが発生する」という前提に立ったセキュリティ対策が必要といえる。IPAが公表する「情報セキュリティ10大脅威」でも、2018年版から「被害を受けた後の対応」という項目が新たに加えられており、その重要性がますます高まっていることが確認できる。

インシデント発生に備えたセキュリティ運用体制の構築には、経営者がリーダーシップをとることが必要不可欠である。経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン」では、自社の事業継続と社会的責任を果たすために経営者が主導してサイバー攻撃への対策を講じることの重要性を示している。同ガイドラインの中で、経営者が情報セキュリティ対策の責任を担う幹部（CISOなど）に対して指示すべき「重要10項目」のひとつに、「インシデント発生に備えた体制構築」が位置づけられている（図1）。

図1．サイバーセキュリティ経営の重要10項目

このインシデント発生時に緊急対応の中核となる組織のひとつとして機能するのがCSIRTであり、上記の重要10項目の指示7では、以下のようにCSIRTへの言及が認められる。

“指示7　インシデント発生時の緊急対応体制の整備：
影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制（CSIRT等）を整備させる。”