もはや待ったなし、危機管理の決め手「CSIRT」構築：セキュリティ強化塾（4/7 ページ）

[キーマンズネット]

組織内CSIRTの具体的業務は？

　CSIRTの具体的業務は、図2に見るような「危機管理（インシデントマネジメント）」全般となり、かなり幅広い。まず手掛けたいのは「事故、事件対応（インシデントハンドリング）」が可能な体制作りだ。

図2 危機管理（インシデントマネジメント）と事故や事件対応（インシデントハンドリング）（出典：JPSERT/CC）

　インシデントハンドリングで求められるのは、次の4種の行動だ。

1. インシデントの検知と連絡受付
2. トリアージ（事実確認、対応の判断）
3. インシデントレスポンス（分析、対処、エスカレーション、連携）
4. リスクコミュニケーション（報告、情報公開）

　（1）は、システムのモニタリングと、外部からの通報などの窓口となることを指す。自組織内では攻撃に気付けず、外部からの通報で初めて分かることが多い。また被害が拡大している状況では、時々刻々の状況変化を把握するためにも重要だ。自社システムやネットワークのモニタリングは攻撃検知のためにも有用だが、起きている事象に対して時間をさかのぼって原因を突き止めるためにもなくてはならない。なお、このような機能は組織によってはSOCが持つこともある。

　（2）の「トリアージ」とは対応に優先順位を付け、事業に重要な影響があることから先に対応していくことだ。どのような場合に何を優先するかは、被害が起きてから考えたのでは遅い。あらかじめ想定した手順にのっとり、起きている事実を確認し、ケースに応じた対応優先順位を決めていく。

　（3）の「インシデントレスポンス」は、インシデントの分析と対処を行い、被害の拡大を防いで早期の復旧を行うことを指す。これも実際に何を行うかが抽象的すぎると役に立たない。想定ケースに応じた具体的方法を手順書などの形で用意しておくことが望ましい。その際には経営層や業務各部門と協議し、意思決定プロセスや手順を明確に合意しておく。なお、想定外のインシデントが発生することもある。場合によっては柔軟な対応や判断も求められる。

　（4）の「リスクコミュニケーション」は、外部の関係者や報道機関などに対し、「リスクの有無」「影響範囲と対応策」「原因分析の経過/結果」「再発防止策」などを積極的に説明することを指す。これを迅速に行わなかったり、事実を隠蔽（いんぺい）したりすると、社会的に厳しく指弾されることがある。広報などとも連携しながら正確な事実公表を行うと、たとえ顧客などに重要な影響があったとしても一定の評価が得られる可能性がある。

　このような事件や事故への対応を司り、その他の危機管理（図2の灰色の円）体制を支援していくのがCSIRTの仕事になる。