{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
サイバーセキュリティリスクの高まり
デジタル化の進展や、働き方の多様化に伴うテレワークの増加、モバイルデバイスの活用、クラウドサービスの利活用、サードパーティーの多様化と複雑化などに伴い、企業がサイバーセキュリティ対応すべき範囲は拡大しています。同時にサイバー攻撃もデジタル技術の活用により、高度化および巧妙化が進んでいます。サイバー犯罪者は、エコシステムを構築し、組織的な攻撃を行うようになってきていることから、企業にとってIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。
日本のCSIRTによく見られる課題
企業がサイバーセキュリティリスクにさらされる危険度が増している現状において、その対応の要となる組織の1つがCSIRT(Computer Security Incident Response Team)です。CSIRTとは、サイバー攻撃をはじめとした情報セキュリティに係るインシデントに対応するチームであり、インシデント関連情報・脆弱性情報・攻撃予兆情報などを収集、分析し、対応方針や手順の策定などを行います。
多くの企業が、セキュリティ組織の1つとしてCSIRTを構築している一方で、実態を踏まえると以下のような現状も見受けられます。
組織
- CSIRTの役割と責任が組織の中で明確になっていない
- CSIRTに責任に応じた権限が与えられていない
- CSIRTと業務部門とのリレーションや権限が明確になっていない
人材
- CSIRTの構成要員は、情報システム部など他部署の業務を兼務しており、十分な専門性を有しているとは言えない
- CSIRTの構成要員に対する社内外の教育機会が積極的に設けられていない
- 専門性のある構成要員を確保できない
ツール
- インシデントが発生した時、あるいはその予兆がある時に、異常検知を調査するためのツール群にCSIRTがアクセスできない。または情報が不足し、調査ができない
- インシデントを登録し、事象を追跡するためのITSM(ITサービスマネジメント)が構築されておらず、過去のインシデントへの対応履歴が残っていない
プロセス
- インシデント発生時にCSIRTから経営へのエスカレーションルートおよびその基準が明確になっておらず、担当者の判断となっている
- インシデント対応の手順が標準化されておらず、担当者の独自の判断で都度対応している
これらの問題点は、多くのCSIRTにおいて認識されているものの対応が進まず、CSIRT化が不十分な例も少なくありません。いざというときの組織だからこそ、CSIRTの役割と責任、それを実行できる権限を明確にしていくことが重要と考えます。
CSIRTの成熟度評価
CSIRTの課題を整理し、対応の優先度をつけるうえで、成熟度評価は1つの有効な手段です。代表的なツールの1つとして、OCF(Open CSIRT Foundation)が公開しているSIM3(Security Incident Management Maturity Model)が挙げられます。欧州ではENISA(欧州ネットワーク・情報セキュリティ機関)がSIM3を活用し、EU加盟国のナショナルCSIRTの成熟度を上げていくプログラムに取り組んでいます。また、世界最大のCSIRT団体として知られるFIRSTでは、加盟手続きとしてSIM3アセスメントの実施を求めています。
SIM3は、CSIRTのマネジメントを「組織(Organisation)」「人材(Human)」「ツール(Tools)」「プロセス(Processes)」の4象限(カテゴリ)に整理し、合計45※の測定項目(パラメータ)でチェックすることで、CSIRTの改善に活かしていく成熟度評価手法です。SIM3を活用することでCSIRT全体のインシデントマネジメントに対して成熟度をLevel 0から4までの5段階の評価レベルで測ることができ、自社CSIRTの成熟度レベルと課題を理解し、目標レベルまで達成するためのアクションを明確化にするとともに、他組織のCSIRT成熟度レベルと比較することが可能となります。
※SIM3 v2iの測定項目
CSIRT成熟度評価を行うメリット
CSIRT成熟度評価を行うことで、以下のようなメリットを得られると考えられます。
他社と比較しにくい自社のCSIRT機能の客観的な評価が可能
世界的に知られているフレームワークを活用することで、自社のCSIRT機能を客観的かつ網羅的な目線で評価することができます。4つのカテゴリを評価して自社で改善が必要な機能を洗い出し、自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋を理解することができます。
サイバーセキュリティ専門家の知見を活用することでアクションプランが明確に
CSIRT成熟度評価は、自組織で行うセルフチェックだけでなく、外部の専門家を活用することも考えられます。サイバーセキュリティに関する専門家の豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。また、自社のCSIRTを改善するうえで、他社の動向や海外の規制なども考慮した体制を構築することなども検討可能です。
経営に対してCSIRTの課題を説明することをサポート
国内のCSIRTでは、セキュリティの専門的知見や人的リソースが不足していることから、他部署との兼務で人員を配置しているというケースも見受けられ、課題を認識していたとしても予算を確保することが難しい場合があります。そういった課題を解決するためには経営層の理解や協力が不可欠ですが、客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社CSIRTの課題を経営層に説明する際に活用することが可能です。
まとめ
組織のIT環境の多様化および複雑化、サイバー攻撃の組織化と高度化により、企業はこれまで以上にサイバーセキュリティリスクにさらされていることから、「自分たちはサイバー攻撃を受けても大丈夫」という考え方は通用しません。「いつ攻撃され、被害を受けてもおかしくない」という考え方に基づいた対策が求められる現状において、CSIRTは組織の中で重要な役割を担っており、サイバー攻撃を受けてしまった場合の生命線であるとも言えます。SIM3のような成熟度評価フレームワークは、自社のCSIRTの課題とアクションプランの明確化に役立ち、日々進化する攻撃手法に対する企業のレジリエンスを高める一助になると考えられます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
