サイバーセキュリティリスクが高まる今こそ見直したいCSIRT成熟度―SIM3活用による企業レジリエンスの向上―

日本のCSIRTによく見られる課題

企業がサイバーセキュリティリスクにさらされる危険度が増している現状において、その対応の要となる組織の1つがCSIRT（Computer Security Incident Response Team）です。CSIRTとは、サイバー攻撃をはじめとした情報セキュリティに係るインシデントに対応するチームであり、インシデント関連情報・脆弱性情報・攻撃予兆情報などを収集、分析し、対応方針や手順の策定などを行います。

多くの企業が、セキュリティ組織の1つとしてCSIRTを構築している一方で、実態を踏まえると以下のような現状も見受けられます。

組織

• CSIRTの役割と責任が組織の中で明確になっていない
• CSIRTに責任に応じた権限が与えられていない
• CSIRTと業務部門とのリレーションや権限が明確になっていない

人材

• CSIRTの構成要員は、情報システム部など他部署の業務を兼務しており、十分な専門性を有しているとは言えない
• CSIRTの構成要員に対する社内外の教育機会が積極的に設けられていない
• 専門性のある構成要員を確保できない

ツール

• インシデントが発生した時、あるいはその予兆がある時に、異常検知を調査するためのツール群にCSIRTがアクセスできない。または情報が不足し、調査ができない
• インシデントを登録し、事象を追跡するためのITSM（ITサービスマネジメント）が構築されておらず、過去のインシデントへの対応履歴が残っていない

プロセス

• インシデント発生時にCSIRTから経営へのエスカレーションルートおよびその基準が明確になっておらず、担当者の判断となっている
• インシデント対応の手順が標準化されておらず、担当者の独自の判断で都度対応している

これらの問題点は、多くのCSIRTにおいて認識されているものの対応が進まず、CSIRT化が不十分な例も少なくありません。いざというときの組織だからこそ、CSIRTの役割と責任、それを実行できる権限を明確にしていくことが重要と考えます。

CSIRT成熟度評価を行うメリット

CSIRT成熟度評価を行うことで、以下のようなメリットを得られると考えられます。

他社と比較しにくい自社のCSIRT機能の客観的な評価が可能

世界的に知られているフレームワークを活用することで、自社のCSIRT機能を客観的かつ網羅的な目線で評価することができます。4つのカテゴリを評価して自社で改善が必要な機能を洗い出し、自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋を理解することができます。

サイバーセキュリティ専門家の知見を活用することでアクションプランが明確に

CSIRT成熟度評価は、自組織で行うセルフチェックだけでなく、外部の専門家を活用することも考えられます。サイバーセキュリティに関する専門家の豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。また、自社のCSIRTを改善するうえで、他社の動向や海外の規制なども考慮した体制を構築することなども検討可能です。

経営に対してCSIRTの課題を説明することをサポート

国内のCSIRTでは、セキュリティの専門的知見や人的リソースが不足していることから、他部署との兼務で人員を配置しているというケースも見受けられ、課題を認識していたとしても予算を確保することが難しい場合があります。そういった課題を解決するためには経営層の理解や協力が不可欠ですが、客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社CSIRTの課題を経営層に説明する際に活用することが可能です。