Ｗｅｂ教材一覧＞ 法規・基準＞ 情報セキュリティ関連

ＣＳＩＲＴガイド

JPCERTコーディネーションセンター
「ＣＳＩＲＴガイド」（２０１５年）

https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf

ＣＳＩＲＴガイドの目的

情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題である。このような中で、組織の情報セキュリティ対策として注目されているのが、組織内の情報セキュリティ問題を専門に扱う CSIRT(シーサート: Computer Security Incident Response Team) の構築である。

本書は CSIRT 構築前に読む「読み物」という位置づけである。
情報セキュリティ対策として、自組織内に CSIRT を構築しようと考えて いる ＣＩＯ (Chief Information Officer、最高情報責任者) などの経営層、CSIRT のメンバーになる可能性のある社員に、CSIRT とはどのような組織でどのような活動をするのか、また CSIRT には何が必要なのかといった点を簡潔に説明している。

企業内で発生したセキュリティ問題に対応するための CSIRT「組織内 CSIRT」に対象を絞った「推奨」であり、「標準規格」を示すものではない。

目次

　1. CSIRT とは？
　　1.1 インシデントと CSIRT
　　1.2 サービス対象 と CSIRT
　2. CSIRT の必要性
　3. CSIRT に求められること
　　3.1 信頼の輪の重要性
　　3.2 信頼の輪の作り方
　　3.3 CSIRT のコミュニティ
　4. CSIRT の位置づけ
　5. CSIRT にあらかじめ必要なこと
　　5.1 サービス対象の明確化
　　5.2 活動目的の明確化
　　5.3 サービス内容の定義
　　5.4 通信チャネルの設置
　6. インシデントハンドリング概論
　　6.1 インシデントマネジメント、ハンドリング、レスポンス
　　6.2 インシデントハンドリングの機能
　　6.3 インシデントハンドリングの流れ
　7. CSIRT 構築にあたって
　　7.1 CSIRT のメンバー
　　7.2 設備

1. CSIRT とは？

CSIRT（Computer Security Incident Response Team) とは、「コンピュータセキュリティインシデント(以降「インシデント」と略)に対応するチーム」です。

1.1 インシデントと CSIRT

情報セキュリティにおける「インシデント」とは、
コンピュータウイルスやサービス運用妨害攻撃、情報漏えいなど、IT システムの正常な運用または利用を阻害する (実害のある) 事象だけでなく、
そのような事象に繋がる可能性のある (まだ実害のない) 弱点探索 (プローブ、スキャン)
なども含まれます。

CSIRT の任務

CSIRT が行なうのがインシデント対応です。

1. インシデントを検知し、あるいはその報告を受けることにより認知し、影響の拡大を防ぐとともに、
2. 情報を収集して分析を加え、インシデントの全体像や原因について把握し、
3. 復旧措置や再発防止のための措置を取る

このような背景から「組織的なインシデント対応」が必要となってきており、それを実現するための実装が CSIRT です。
　CSIRT は必ずしも「インシデント対応を専門に行なう部署」である必要はありません。必要なのは「インシデント対応を専門に行なう機能」としての CSIRT であり、組織によっては他の関連業務と兼務したメンバーによる部署を横断した形態で CSIRT の機能のみを実装している例は少なくありません。

未然防止と事後対策

インシデントの発生には、次のような原因があります。
（1）パッチの適用忘れなどの人為的ミス
（2）未知の(公知になっていない＝回避策のない)脆弱性の悪用
（3）技術的な対応の限界
（4）必ず存在してしまう社員の意識に頼る事項
　複雑多岐に渡るため、インシデントの発生を完全に防ぐことは不可能であるという「事故前提」の意識の下、
　　インシデント発生時に「いかにして被害を最小限に食い止めるか」
　　発生後「いかにして速やかに復旧するか」
が重要であり、あらかじめインシデント対応体制を構築しておくことが推奨されます。

1.2 サービス対象とCSIRT

CSIRT (の機能) はサービス対象によって、次のように分類されます。

• 組織内 CSIRT。サービス対象は CSIRT が属する組織の人、システム、ネットワークなど。組織にかかわるインシデントに対応する。
  ●本ガイドでは、これを対象にしている。
• 国際連携 CSIRT
  サービス対象は(広義の)国や地域
  国を代表するインシデント対応連絡窓口。
• コーディネーションセンター
  サービス対象は、協力関係にある他の CSIRT。
  インシデント対応において CSIRT 間の情報連携、調整を行なう。グループ企業間の連携を担当する。
• 分析センター
  親組織または国や地域をサービス対象。インシデントの傾向分析やマルウェアの解析、侵入等攻撃の痕跡の分析を行ない、必要に応じて注意喚起を行なう。独立した組織の場合もあるが、CSIRT の中に機能として設けられる場合も多い。
• ベンダチーム
  サービス対象は組織および自社製品の利用者（個人ユーザと法人ユーザの場合がある）。自社製品の脆弱性に対応し、パッチを作成したり、注意喚起をしたりする。組織内 CSIRT を兼ねるケースもある。
• インシデントレスポンスプロバイダ
  サービス対象は顧客。組織内 CSIRT の機能 (の一部) を有償で請け負うサービスプロバイダ。セキュリティベンダ、SOC 事業者など。

2. CSIRT の必要性

CSIRT を構築することで得られる「メリット」

1. 情報セキュリティ (インシデント関連) に関する情報管理
2. (組織内のインシデントに関する) 統一された窓口
3. (外部との) インシデント対応に必要な信頼関係の構築

3. CSIRT に求められること

3.1 信頼の輪の重要性

• インシデントに関する情報は多くの場合、社内の機密にあたるものが多kい。
• 他の CSIRT など、関連のある組織との情報連携・情報共有が欠かせない。
• 必要に応じて事実を公表する場合。慎重に行なう必要がある。

3.2 信頼の輪の作り方

サービス対象からの信頼を得るためには、まず CSIRT の存在をサービス対象に充分に認知してもらうことがもっとも重要です。

ＰｏＣ (Point of Contact)

• 各 CSIRT の代表者、他の CSIRT への窓口
  高いコミュニケーション能力とコミュニティで得られた情報を的確に判断して処理する能力、そして CSIRT の「顔」としての役目を果たせるだけの充分な知識とセキュリティを扱う者としての高い倫理観などが挙げられます。
• 親組織の代表者ではない。
  信頼関係は、あくまで PoC 同士の個人の信頼関係を基盤とする CSIRT 対 CSIRT の信頼関係であり、親組織対親組織 (会社対会社) ではない。、

3.3 CSIRT のコミュニティ

• FIRST (Forum of Incident Response and Security Teams)
  CSIRT による国際フォーラム。FIRST が定めたルールに沿う CSIRT ならどのようなCSIRT でも参加可能。各参加 CSIRT に必ず 1 名の Rep (Representative、代表者、PoCと同義) の存在を義務付けている。
• APCERT (Asia Pacific Computer Emergency Response Team)
  アジア太平洋地域の CSIRT によるフォーラム。APCERT が定めたルールに沿うCSIRT のみ参加可能。
• 日本シーサート協議会 (Nippon CSIRT Association)
  
• （日本コンピュータセキュリティインシデント対応チーム協議会）
  日本国内の CSIRT によるフォーラム。日本シーサート協議会の使命および活動内容に賛同し、且つ協議会から得られた情報を適切に取り扱うことができる日本国内で活動するシーサートであれば、参加可能。

4. CSIRT の位置づけ

厳然たるチーム (=部署) として実装される場合もありますが、バーチャルなチームとして、他業務と兼務するメンバーによる「CSIRT 機能」として実装される場合もあります。また文字通りチームとして複数のメンバーによって構成されることもあれば、規模の小さな組織では CSIRT 機能を有した個人である場合もあります。
　　(1) 経営層直下にある場合
　　(2) 経営層直下にあるリスク管理委員会の下にある場合
　　(3) 経営層直下にあり、リスク管理委員会と並立している場合

5. CSIRT にあらかじめ必要なこと

5.1 サービス対象の明確化

CSIRT にとってのサービス対象者 (活動範囲) が誰であるかということを明確に定義すること

5.2 活動目的の明確化

被害の局限化・最小化、被害からの迅速な復旧など、いくつかの目的が考えられますが、優先順位付けをしておくことで、あらかじめ対応マニュアルを用意していない「予期せぬインシデント」にも速やかに対応できます。

ミッションの例

• 会社内および子会社の従業員に対して、コンピュータセキュリティインシデントによる被害を軽減および局限化するための環境およびシステムの構築を支援する。
• 会社内および子会社の従業員に対して、コンピュータセキュリティインシデントが発生した場合の対応を支援する。
• インターネット接続サービスを契約している顧客が、そのインターネット接続サービスを起因とするコンピュータセキュリティインシデントに巻き込まれた場合、その被害を軽減し、迅速に復旧する。
• ○○グループ内で発生したコンピュータセキュリティインシデントの検知、解決、被害の軽減・局限化および発生の予防を支援することにより、○○グループのセキュリティの向上に貢献する。

5.3 サービス内容の定義

事後対応型サービス

　・アラートと警告
　・インシデントハンドリング
　　　インシデント分析
　　　オンサイトでのインシデント対応
　　　インシデント対応支援
　　　インシデント対応調整
　・脆弱性ハンドリング
　　　脆弱性分析
　　　脆弱性対応
　　　脆弱性対応調整
　・アーティファクトハンドリング
　　　アーティファクト分析
　　　アーティファクト対応
　　　アーティファクト対応調整

事前対応型サービス

　・告知
　・技術動向監視
　・セキュリティ監査または審査
　・セキュリティツール、
　　　アプリケーション、インフラ、およびサービスの設定と保守
　・セキュリティツールの開発
　・侵入検知サービス
　・セキュリティ関連情報の提供

セキュリティ品質管理サービス

　・リスク分析
　・ビジネス継続性と障害回復計画
　・セキュリティコンサルティング
　・意識向上
　・教育 / トレーニング
　・製品の評価または認定

通信チャネルの設置

6. インシデントハンドリング概論

6.1 インシデントマネジメント、ハンドリング、レスポンス

拡大図

• インシデントマネジメント
  インシデントに対して CSIRT が行なう一連の業務
• インシデントハンドリング
  インシデントマネジメントのうち、インシデントの発生時と発生後のような実際に発生したインシデントに対して行なう一連の業務
• インシデントレスポンス
  インシデントマネジメントのうち実際に対応する業務

6.2 インシデントハンドリングの機能

拡大図

• インシデント情報のトリアージ
  トリアージとは優先順位決定のこと。トリアージの内容や深刻度、緊急度などから、あらかじめ設定した判断基準により、対応の優先順位付けをする。
トリアージのタイミングで高度標的型攻撃(Advanced Persistent Threat：ＡＰＴ)を検知できる場合もある。
• 解決に向けた活動
  当該インシデントに関連したサイトや他の CSIRT、必要に応じて専門家などと情報をや りとりし、必要な対応につなげます。
• 注意喚起及び啓発活動
  インシデントの被害拡大の防止などを目的にサービス対象に対して注意喚起や普及啓発 を行ないます。
• インシデント対応以外の要請への対応
  インシデント対応の結果 (顛末など) を、当該インシデントについて CSIRT に対応を要 請した方や関係者(上位組織や監督官庁など)に報告したり、必要に応じて広報担当者を通じ て情報を公開したりします。

6.3 インシデントハンドリングの流れ

拡大図

次のような「繰り返し」の結果として最終的な解決に導きます。

• 対応すべきインシデントに対しては、状況の把握、分析を行ない、対応計画を策定します。
• インシデントが高度サイバー攻撃(APT)によるものだと判断される場合は、インシデントによるリスクと組織のリスク許容度に基づいて取るべき措置を検討します。
• 脅威を排除することよりもインシデントの範囲特定を優先とするかを判断し、対応計画に盛込みます。
• 次に策定した計画に基づいて対応を行ない、抑制措置や範囲特定を実施します。
• その後、実施した対策が適切であったかを関連情報の調整を行なうことで確認し、必要であれば、改めて状況の把握と分析を行ない、対応計画を練り直します。

7. CSIRT 構築にあたって

7.1 CSIRT のメンバー

• 必要なスキル
  ＩＴに関する技術的専門知識も必要だが、それよりも関係者との協力を円滑にするための信頼とコミュニケーションが最も重要です。
• 心得
  サービス対象に対して情報セキュリティを担う者としての模範たる姿勢を示すことが求められます。

7.2 設備

• 執務スペース
  CSIRT 業務を行なう場所は、機密保護が必要であり、必要がないエリアとは完全に分離し、ＩＣカードや生体認証などの入室制限を行う。
• 通信設備
  CSIRT 業務を行う通信機器は、物理的に保護エリアに設置し、電子メールや電話にセキュリティ対策を講じること。
• データ管理・破棄
  機密情報については、紙や CD-R などの物理的なものは耐火金庫、電子データは暗号化ファイルシステムを用いたハードディスク上に保管しておくことがあります。また物理データの破棄用に、紙だけでなく CD-R などについても粉砕できるシュレッダーを用意します。
• インシデントトラッキングシステム(ソフトウェア)
  一般的に CSIRT ではインシデントの対応進捗状況を管理するシステムが使われています。
  このようなトラッキングシステムとして、オープンソースのソフトウェアである ＲＴＩＲ(Request Tracker for Incident Response) などが有名ですが、多くの CSIRT では独自に開発 したシステムが使われているようです。