{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
デジタル化の進展や、働き方の多様化に伴うテレワークの増加、モバイルデバイスの活用、クラウドサービスの利活用、サードパーティーの多様化と複雑化などに伴い、企業がサイバーセキュリティ対応すべき範囲は拡大しています。同時にサイバー攻撃もデジタル技術の活用により、高度化および巧妙化が進んでいます。サイバー犯罪者は、エコシステムを構築し、組織的な攻撃を行うようになってきていることから、企業にとってIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。
企業がサイバーセキュリティリスクにさらされる危険度が増している現状において、その対応の要となる組織の1つがCSIRT(Computer Security Incident Response Team)です。CSIRTとは、サイバー攻撃をはじめとした情報セキュリティに係るインシデントに対応するチームであり、インシデント関連情報・脆弱性情報・攻撃予兆情報などを収集、分析し、対応方針や手順の策定などを行います。
多くの企業が、セキュリティ組織の1つとしてCSIRTを構築している一方で、実態を踏まえると以下のような現状も見受けられます。
これらの問題点は、多くのCSIRTにおいて認識されているものの対応が進まず、CSIRT化が不十分な例も少なくありません。いざというときの組織だからこそ、CSIRTの役割と責任、それを実行できる権限を明確にしていくことが重要と考えます。
CSIRTの課題を整理し、対応の優先度をつけるうえで、成熟度評価は1つの有効な手段です。代表的なツールの1つとして、OCF(Open CSIRT Foundation)が公開しているSIM3(Security Incident Management Maturity Model)が挙げられます。欧州ではENISA(欧州ネットワーク・情報セキュリティ機関)がSIM3を活用し、EU加盟国のナショナルCSIRTの成熟度を上げていくプログラムに取り組んでいます。また、世界最大のCSIRT団体として知られるFIRSTでは、加盟手続きとしてSIM3アセスメントの実施を求めています。
SIM3は、CSIRTのマネジメントを「組織(Organisation)」「人材(Human)」「ツール(Tools)」「プロセス(Processes)」の4象限(カテゴリ)に整理し、合計45※の測定項目(パラメータ)でチェックすることで、CSIRTの改善に活かしていく成熟度評価手法です。SIM3を活用することでCSIRT全体のインシデントマネジメントに対して成熟度をLevel 0から4までの5段階の評価レベルで測ることができ、自社CSIRTの成熟度レベルと課題を理解し、目標レベルまで達成するためのアクションを明確化にするとともに、他組織のCSIRT成熟度レベルと比較することが可能となります。
※SIM3 v2iの測定項目
CSIRT成熟度評価を行うことで、以下のようなメリットを得られると考えられます。
世界的に知られているフレームワークを活用することで、自社のCSIRT機能を客観的かつ網羅的な目線で評価することができます。4つのカテゴリを評価して自社で改善が必要な機能を洗い出し、自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋を理解することができます。
CSIRT成熟度評価は、自組織で行うセルフチェックだけでなく、外部の専門家を活用することも考えられます。サイバーセキュリティに関する専門家の豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。また、自社のCSIRTを改善するうえで、他社の動向や海外の規制なども考慮した体制を構築することなども検討可能です。
国内のCSIRTでは、セキュリティの専門的知見や人的リソースが不足していることから、他部署との兼務で人員を配置しているというケースも見受けられ、課題を認識していたとしても予算を確保することが難しい場合があります。そういった課題を解決するためには経営層の理解や協力が不可欠ですが、客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社CSIRTの課題を経営層に説明する際に活用することが可能です。
組織のIT環境の多様化および複雑化、サイバー攻撃の組織化と高度化により、企業はこれまで以上にサイバーセキュリティリスクにさらされていることから、「自分たちはサイバー攻撃を受けても大丈夫」という考え方は通用しません。「いつ攻撃され、被害を受けてもおかしくない」という考え方に基づいた対策が求められる現状において、CSIRTは組織の中で重要な役割を担っており、サイバー攻撃を受けてしまった場合の生命線であるとも言えます。SIM3のような成熟度評価フレームワークは、自社のCSIRTの課題とアクションプランの明確化に役立ち、日々進化する攻撃手法に対する企業のレジリエンスを高める一助になると考えられます。