デジタル革命によってビジネスに革新が起こり、オペレーションの加速、利益の増加、コスト削減が実現しました。しかし、これによりセキュリティリスクも高まっています。悪意ある行為者は、機密情報にアクセスして悪用し、利益を得ることを目的として、企業や個人を狙います。2023年だけでも、2,365件超のサイバー攻撃により、3億4,300万人以上に影響が及びました。これにより、政府機関から民間企業まで、あらゆる組織においてコンピューターセキュリティインシデント対応チーム (CSIRT) を緊急に設立するニーズが高まっています。
しかし、CSIRTとは正確には何でしょうか? また、適切なデータ管理ソリューションと組み合わせることで、どのように利益を保護できるのでしょうか? 以下では、これらの点やその他の項目について詳細に議論します。
CSIRTの概要
CSIRTは、コンピューターセキュリティのインシデント対応を行うIT専門家集団です。このような専門家達が行うのは、サイバーセキュリティの脅威の特定だけではありません。その分析や解決、影響の軽減、セキュリティ事象の再発防止まで実施します。
場合によってCSIRTは、サイバーセキュリティインシデント対応チーム、もしくはサイバー事案対応チーム (CERT) と呼ばれることもあります。これらはわずかに言葉の違いはあるものの本質的には同じもので、同じ機能を提供します。サイバー脅威から組織を保護し、セキュリティ事象発生後にシステムの制御を復旧するのです。
つまりCSIRTは、あなたのような組織がサイバー攻撃の後にシステムの制御を取り戻せるようにします。ここからは、業務、構成、種類、課題など、CSIRTについて詳しくご紹介します。
CSIRTの役割
CSIRTは効果的なインシデント対応を通じ、コンピューターセキュリティインシデントの各段階で組織を積極的に守ります。検知、封じ込め、復旧、インシデント後の分析を担当するCSIRTのメンバーは、損害の軽減、システムのリストア、将来の防御の強化を行います。その責務は以下の通りです:
- インシデントの検知: サイバー攻撃が発生する前に検知できるよう、CSIRTはさまざまな方法で備えています。例えば、組織のシステムから潜在的な脅威や侵害を検出するために、自動分析ツールを使用する場合があります。マルウェア対策、ログ分析、フォレンジックソフトウェアも有効です。
- 分析: CSIRTは潜在的なサイバーセキュリティの脅威を確認すると、脅威インテリジェントソフトウェアを使って脅威を分析します。これにより、脅威の種類、関与した脅威者、手法、組織への潜在的な影響といった、より有益な情報を得ることができます。
- 対応: インシデント対応者は、サイバーセキュリティ脅威の範囲と発生源を特定するフォレンジック分析を提供します。フォレンジック調査では、攻撃を封じ込めて復旧措置を推進する最善策を判断するために、インシデントに関連する重要情報を収集します。脅威を扱うサイバーセキュリティ専門家、攻撃の種類、実際の被害によって、最善のアプローチは異なる場合があります。
- 復旧: CSIRTの業務は、インシデント対応後も終わりません。インシデント対応後は経営陣や関係者らと面会し、インシデント、対応、将来の攻撃を防止または対応するための対策について確認します。
CSIRTは単体で機能するものではありません。通常は、ネットワークエンジニアやデータ所有者といったIT部門のメンバーと連携し、対応戦略を実行します。法執行機関、サイバーセキュリティのコンサルタント、法律事務所、データ復旧会社、外部の監査官、広報 (PR) の専門家といった外部のメンバーも関与するのが一般的です。
CSIRTの構成
適切な要素が揃っていれば、サイバーセキュリティ経験の限られた組織であっても、効果的なCSIRTを構成するのは簡単です。わずかな要素で、複雑なサイバーセキュリティの脅威やインシデント対応活動をこなすことのできる、レジリエントなCSIRTを作ることができます。
チーム構成
CSIRTが適切に機能し、効果的なインシデント対応チームを結成するには、さまざまな専門家が必要です。社内外から、CSIRTのリーダー、インシデントマネージャー、インシデント対応者、セキュリティ分析家、フォレンジック調査官、広報、人事、法律の専門家を含める必要があります。迅速なインシデント対応を促すため、それぞれの役割は期待通りの機能を果たせるよう明確に定義しなければなりません。
ツールとテクノロジー
CSIRTには、組織のリスクプロファイルニーズを満たす適切なセキュリティツールを提供する必要があります。そうでない場合、チームは期待通りの迅速さと効率でコンピューターセキュリティ問題に対応できないこともあります。例えば、収集データの分析を自動化するためには、セキュリティ情報とイベント管理 (SIEM) が必要です。一方、エンドポイントの検知と対応 (EDR) システムは、サイバーセキュリティの脅威をリアルタイムで検知します。その他必要なツールとして、デジタルフォレンジックソフトウェア、ファイアウォール、ファイアウォールVPN、マルウェア対策システム、同期および更新用サーバー、相関ユニットなどが挙げられます。
プロセス
サイバーセキュリティ脅威の管理には、検知、分析、封じ込め、復旧、インシデント後の活動など、さまざまな手順が関与します。また、CSIRTは、脆弱性を検知するためセキュリティリスクを評価し続けなければなりません。同時に、潜在的な影響に応じてそれぞれにリスクを分類する必要があります。
こうした要素が揃わなければ、CSIRTがセキュリティ問題をうまく管理するのが困難になる可能性があります。さらに、サイバーセキュリティの脅威を特定、封じ込め、防止するために必要なソフトスキルと技術スキルをチームに身に着けさせるため、組織は継続的なトレーニングを提供する必要があります。
CSIRTの種類
CSIRTをサイバーセキュリティ戦略に取り入れる場合、CSIRTの構造や機能は大きく異なる可能性があることを理解しておく必要があります。組織独自のニーズやリソースに合わせてCSIRTの種類を調整することで、その効果は最大限に高まります。CSIRTの代表的な種類として、以下が挙げられます:
- 企業CSIRT: 組織のシステム、ネットワーク、データに影響を及ぼすセキュリティ問題を管理するために組織の内部で機能する、社内チームまたは外部委託のCSIRTです。そのため、自社の資産の保護、被害の軽減、事業継続の確保を担当します。多くの企業では、分散されたチームで構成されるハイブリッドCSIRTが採用されます。
- 政府CSIRT: 国家の重要インフラ、ビジネス、市民に影響を及ぼすサイバー攻撃を管理するため、全国的に活動するITプロ集団です。データ漏洩の解決に向けて他国と調整を行う際は、ここが主な窓口となります。米国国土安全保障省 (DHS) の一部である、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) が好例です。
- 学術系CSIRT: 通常は学術機関や調査機関を拠点として、学術ネットワークに影響を及ぼすセキュリティ問題に対応します。しかし、ITのプロが機関のメンバー、学者、研究者達と自分達の業務を共有しなければならないため、オープンアクセス要件が大きなセキュリティ課題となっています。
- 調整CSIRT: CSIRTと組織間のコミュニケーションを促進するため、他のCSIRTよりも幅広い役割を果たします。さらに、インシデント管理をガイドし、チーム間でリソースが効率良く使用され、公平に分散されるようにします。調整CSIRTはサイバーセキュリティインシデントを直接管理しないため、権限がありません。地域や国のCSIRT間の活動を管理するSoftware Engineering InstituteのCERT Coordination Center (CERT/CC) は、この非常に優れた例です。
- 分散型CSIRT: 分散型CSIRTは、インシデント対応の責任を共有する複数の独立したチームを利用します。そして、調整CSIRTがそれを管理し、独自のニーズに基づいてグループ間で利用可能なリソースを分配します。このチームには多くの場合、CSIRTの責任とその通常義務を扱う人材が配置されます。
CSIRTはそれぞれ、異なる組織のセキュリティニーズに合わせて機能します。どの種類が最適かは、業界や目的によって異なります。
CSIRTのオペレーション
組織に必要なCSIRTの種類によって、CSIRTにはさまざまな責任があります。それぞれのタスクにより、脅威の効果的な管理と将来のリスクの最小化が保証されます。主な責任には、次のようなものがあります:
- 準備: CSIRTはミッションステートメントを作成し、これを、セキュリティポリシー、手順、インシデント対応ツールを記載したインシデント対応計画に発展させます。ここでは、チームメンバーの責任についても説明します。全員がさまざまな脅威に対応できるよう備えるため、CSIRTはシミュレーションを含む定期的なトレーニングを推奨します。
- インシデントの特定: このフェーズでは、ネットワークトラフィック、システムログ、ユーザーアクティビティに異常なパターンがないかどうかを監視することで、SIEMシステムや脅威インテリジェンスフィードといったツールを使い、セキュリティインシデントを検知します。その後、チームメンバーは手作業での確認を行うか、自動アラートを受け取ってから潜在的な脅威を検証します。
- インシデント評価: この手順では、CSIRTが検知されたサイバーセキュリティインシデントの緊急性と、対象システムへの影響を評価します。インシデントは重大度に応じて低、中、高などに分類され、それに従ってチームが利用可能なリソースを割り当て、考えうる結末について関連するステークホルダーに知らせられるようにします。
- 封じ込め、根絶、復旧: CSIRTは、悪意のあるトラフィックの阻止など、インシデントの蔓延を防ぎ被害を最小化するための対策を講じます。封じ込めを行った後、悪意のあるコードの排除、悪用された脆弱性の解決、攻撃者のあらゆる痕跡の削除を行うことで脅威を排除します。その後、クリーンバックアップの再インストール、影響を受けたシステムのテスト、脅威の再発兆候の監視を行い、システムを通常のオペレーションにリストアします。安定性を確保し再感染を防ぐため、復旧は段階的に行う場合があります。
- 教訓の活用: インシデントが解決したら、対応プロセスの分析と結果報告の文書化を行うため、インシデント後のレビューを行います。この分析は、インシデント対応計画の改良、手順や検知メカニズムの更新、将来のインシデント対策の強化に向けたチームメンバーのトレーニングに役立ちます。意識向上と将来の脅威に対するレジリエンス強化のため、得られた教訓は組織全体に共有されます。
CSIRTのインシデント対応プロセスと運用ワークフローでは、脅威の検知と初回評価から復旧と継続的な改善まで、サイバーセキュリティインシデントを体系的に扱うことができます。
CSIRTサイバーセキュリティのベストプラクティス
サイバー脅威から守る上でCSIRTの有効性を最大化するには、ベストプラクティスを採用することが重要です。ベストプラクティスはサイバー攻撃に対する全体的なセキュリティ体制を強化することで、インシデント対応能力を上げ、将来の侵害防止に役立ちます。主なベストプラクティスは、以下の通りです:
- 明確なコミュニケーションチャネルの確立: サイバーセキュリティインシデントには、コミュニケーションが欠かせません。コミュニケーションによって重要な情報が関係者と適時に共有され、混乱を防ぎ、調整の取れた対応活動を促進することができます。そのため、内部の関係者、一般、その他影響を受ける第三者と連絡を取り合えるよう、CSIRTではセキュアなメールや暗号化されたメッセージングアプリなどといったチャネルをセットアップする必要があります。
- 定期的なトレーニングと訓練: トレーニングとシミュレーション演習を行うことで、ランサムウェア攻撃、データ漏洩、内部脅威に対応するための準備が整います。対応能力における潜在的なギャップを埋め、最新の攻撃手法や対応ツールを網羅するには、これまでのインシデントから得られた教訓を取り入れる必要があります。
- 他の事業体との連携: 対応戦略を強化し、より広範な知識やリソース源にアクセスするため、CSIRTは他のCSIRT、サイバーセキュリティ組織、法律事務所といった他の事業体と協力する必要があります。
効果的なCSIRTの構築を目指すのであれば、自分たちの実践だけに限定すべきではありません。インシデント対応の成功率を高める戦略としては他にも、継続的な脅威モニタリングや、全インシデントを文書化して説明責任、分析、規制遵守に使用することなどが挙げられます。
CSIRTが直面する課題
CSIRTは組織を防御する上で重要な役割を果たしますが、その効果を妨げる多数の課題に直面しています。リソース制限の管理から進化する脅威の先回りまで、CSIRTがこうした障害を乗り越えて迅速かつ効果的に対応できるようにするには、戦略的なソリューションが必要です。課題には、次のようなものがあります:
- リソース制限: CSIRTの多くは限られた予算とスタッフで運営されているため、複雑なインシデントに効果的に対応する能力に影響が出ます。繰り返しになりますが、人員不足が燃え尽き状態や士気の低下を引き起こし、チームが迅速にインシデントを封じ込めるのが難しくなることがあります。
- 進化する脅威環境: 新たなサイバー脅威の発展により、多くのCSIRTにとってインシデント解決が困難になります。脅威者は定期的に手法を変更または改善するため、CSIRTは対応計画、検知ツール、スキルセットを更新しなければなりません。
- インシデントの複雑性: 現在、サイバーセキュリティインシデントにはさまざまなシステムが使用されているため、インシデントを特定し、封じ込めるプロセスが複雑になっています。例えばマルチベクトル攻撃では、企業のシステムにアクセスするために複数の手法を使用します。そのため、CSIRTのメンバーはインシデントのあらゆる側面にうまく対応するため、さまざまな手法に精通している必要があります。
このような課題があるため、CSIRTが信頼性の高いインシデント対応計画を作成するには、先を見越した防御、迅速な対応、継続的な学習を優先する必要があります。それでも、社内外の関連者と連携することは、こうした問題があってもサイバーセキュリティインシデントに対応し、復旧する上で役立ちます。
サイバーセキュリティにおけるCSIRTの重要性
CSIRTは、組織のサイバーセキュリティ戦略の成功において大きな役割を果たします。CSIRTはインシデントを検知、評価、対応することで、対応時間を短縮し、システム、データ、評判に対する潜在的な被害を軽減します。
Cohesityが提供する質の高いデータ管理ソリューションは、インシデント対応活動をサポートし、CSIRTオペレーションと統合できる信頼性の高いバックアップ、データ保護、復旧ツールを提供します。
Cohesityの広範囲にわたるCERTサービスには、Palo Alto Networks Unit 42社、Arctic Wolf社、Sophos社、Fenix24社、Semperis社といった一流インシデント対応 (IR) ベンダーとのパートナーシップも含まれます。Cohesity CERTは、専門性が高く調和の取れた専任サポートでIRプロセスを加速させます。また、既存のサブスクリプションの一環として、Cohesityのすべてのお客様にご利用いただけます。
Cohesityがブランドのデータレジリエンスを高める方法に関する詳細は、お問い合わせいただくか、今すぐ無償トライアルをお申し込みください。
