平成27年6月に発覚した某機構における標的型メール攻撃による個人情報の漏えい事案では、サイバーセキュリティインシデント対応上の不備が多数指摘されており、インシデント対応の重要性があらためて浮き彫りになりました。
インシデント対応の失敗事例
高度化・巧妙化するサイバー攻撃に対処するため、金融庁は平成27年4月22日に銀行・証券会社・保険会社等の金融機関向けの「総合的な監督指針」及び「金融検査マニュアル」等を改正し、サイバーセキュリティ管理態勢整備の一貫としてCSIRT等の緊急時対応及び早期警戒のための体制整備を要求しています。
サイバーセキュリティ管理
金融商品取引業者等向けの総合的な監督指針:Ⅲ.監督上の評価項目と諸手続(共通編)Ⅲ-2-8 システムリスク管理態勢(1)主な着眼点
高度な攻撃手法を用いて継続的・組織的に行われるサイバー攻撃に対して、従来の予防に軸足を置いた対策では限界があるため、インシデント発生を前提とした早期発見・被害拡大防止の体制が必要になってきています。
政府のサイバーセキュリティ施策及び監督官庁からの要求等も鑑み、組織はインシデント対応体制=CSIRTを整備し、外部組織と連携しながらサイバー攻撃に対処すべきと考えます。
CSIRTの必要性
Computer Security Incident Response Teamの略で、「コンピュータセキュリティインシデント」に関する報告を受け取り、調査し、対応活動を行う組織体であり、「企業内のセキュリティ消防署」とも言われています。
CSIRTとは
消防署が消火活動だけではなく、新しい消火技術の情報収集、防火のための啓発活動を行うように、CSIRTもインシデント発生後の対応のみならず、事前の情報収集、リスクアセスメント、教育・啓発、監査等を担います。
CSIRTのサービス・機能
弊社は、CSIRTを『サイバー空間からの攻撃に対し、コンピュータの運用・利用状況を継続的に把握するとともに、セキュリティリスクの顕在化につながる好ましくない状況を、早期に検知し、迅速かつ適切に対応する組織』と定義します。
弊社が考えるCSIRT
弊社は、以下のアプローチによりCSIRTの構築をご支援します。
新たにCSIRTを構築する場合は、以下の点に留意して迅速・効率的に体制を立ち上げることがポイントです。
実施内容
インプット
アウトプット
具体例
弊社は、金融機関・IT企業を中心に、複数のCSIRT構築/インシデント対応関連の業務実績を有しています。
CSIRTに関する実績
弊社標準スケジュール案では3ヶ月でCSIRTを構築します。
※詳細な実施スケジュールは、貴組織と協議の上、決定します。
| 業務 | タスク | 2016年 | |||||
|---|---|---|---|---|---|---|---|
| 1月目 | 2月目 | 3月目 | |||||
| 現状調査 | (1) 現状調査準備 |  |
|||||
| (2) 文書調査 | |
||||||
| (3) ヒアリング調査 | |
||||||
| (4) GAP分析・課題抽出 | |
||||||
| インシデント対応ポリシーの策定 | (1) 対象リスクの決定 | |
|||||
| (2) 対象範囲の決定 | |
||||||
| (3) 提供サービス・機能の決定 | |
||||||
| (4) インシデント対応ポリシーの策定 | |
||||||
| CSIRTの設計 | (1) タスク・役割の定義 | |
|||||
| (2) スキルの定義 | |
||||||
| (3) 内外製分析の実施 | |
||||||
| (4) 体制の決定 | |
||||||
| 規程等の整備 | (1) CSIRT運営規程の策定 | |
|||||
| (2) 個別インシデント対応フローの作成 | |
||||||
| (3) 外部コミュニケーションフローの作成 | |
||||||
| (4) 情報収集方法の決定 | |
||||||
本サービスの支援体制(例)は、以下の通りです。
実際にCSIRTが構築運用されるまでにどのくらいの費用と期間が掛かりますか?
お客様の構築規模・範囲・ご要件等によっても変動ございますが\5,000,000~の費用規模感となります。また期間に関しても同様にお客様の構築規模・範囲等によって変動ございますが、「事前準備」に3ヶ月、「構築」に3ヶ月程度の期間を要します。
CSIRTの構築業者を選定する基準やポイントはありますか?
情報セキュリティの組織化を実施する上で、インシデントハンドリングの仕方次第で経営と現場を繋ぐことが第一前提なので、技術とマネジメントの要素が必要になるかと思います。
