昨今、先端技術の導入や業務のクラウドシフトが急激に進み、セキュリティリスクが増大しています。セキュリティ対策を社内の情シス部門任せにしていては、年々巧妙化・複雑化するサイバー攻撃に対し後手に回ります。

「インシデントは起きるものだ」という前提で考え、その後の原因特定や対処を可能な限り迅速化するための組織体制が、本記事で解説するCSIRT（シーサート：Computer Security Incident Response Team）です。CSIRTが必要不可欠な理由や、CSIRTを構築するための3つの手順を解説します。

CSIRTが注目される2つの社会背景

CSIRTとは、サイバー攻撃やセキュリティ事故が発生した際のインシデント対応（インシデント・レスポンス）を担う専門チームです。

火事が発生した際に出動する消防団のように、インシデントの最初の「火消し」を行い、社内外との連絡調整を行って、システムの迅速な復旧に向けた協力体制を築く役割があります。

CSIRTが誕生したきっかけは、1988年のマルウェア・モリスワームの流行です。マルウェアの被害分析や組織的対応を迅速化するため、「CERT/CC」という名称の組織がアメリカのカーネギーメロン大学に設置されています。

IPA（情報処理推進機構）の「企業のCISOやCSIRTに関する実態調査2017」によると、米国では55.6%の企業、欧州では32.9%の企業がCSIRTを設置しているのに対し、日本では全体の22.6%の企業しか設置していません。広義のインシデント対応を行う組織を含めても、全体の66.8%にとどまります。

しかし、サイバー攻撃の件数は年々増加しており、情シス部門だけでインシデントを未然に防ぐのは困難です。CSIRTの設置が必要不可欠な2つの理由を解説します。

サイバー攻撃の件数は年々増加

まず、サイバー攻撃の増加が挙げられます。警察庁の公表データによると、サイバー攻撃の疑いがある不正アクセスは、IPアドレス1つにつき1日平均4,192件（前年比52%増）起きています。

その要因として、情報システムのクラウドシフト、IoTやAIなどの先端技術の普及、テレワークやリモートワークに伴うコミュニケーションツールの導入など、業務のデジタル化が挙げられます。

またIPA（情報処理推進機構）の「情報セキュリティ10大脅威2020」では、2019年に件数が多かったインシデントが1位から10位まで順位付けされています。

外部からの不正アクセスや標的型攻撃、内部不正や人為的ミスによる情報セキュリティ事故、さらにはIoT機器の脆弱性を利用したサイバー攻撃など、情報セキュリティの脅威は巧妙化・複雑化しています。

このように企業は多角的なセキュリティリスクを負っており、インシデントを未然に防ぐのは困難です。

情シスの負担拡大と人手不足が課題に

サイバー攻撃の件数が増える一方で、情シス部門の人材不足が深刻です。2019年の「IT投資動向調査」によると、中小企業の約38%が担当者1名以下の「ひとり情シス」状態です。

IT人材不足が深刻化する中、情シス部門の業務負担は増加しています。IaaS（Infrastructure as a Service）を始めとしたクラウドを利用している企業は前年比大幅増の20.4%に達しており、業務のクラウドシフトが進み、情シス部門は新たなインフラ整備のための対応を強いられています。

また、直近3年間でセキュリティ事故の被害に遭った中小企業は全体の35.7%（前年比5%増）であり、情シス部門の業務増加を招いています。

サイバー攻撃の件数は年々増加しており、人手不足に陥りがちな情報システム部門だけでインシデントを未然に防ぐのは困難な状況になっています。

サイバー攻撃とセキュリティ対策は「イタチごっこ」

インシデントを完璧に防ぐのが難しい理由に、情報セキュリティにおける攻撃側・防御側の「イタチごっこ」が挙げられます。

その代表的な事例が、ソフトウェアの脆弱性を見つけ、修正プログラムが提供される前に攻撃を仕掛ける「ゼロデイ攻撃」です。セキュリティベンダーが脆弱性を解消しても、攻撃者は次々と新たな脆弱性を発見し、セキュリティホールが解消される前に攻撃を仕掛けます。

セキュリティ業界は「イタチごっこ」の繰り返しであり、インシデントを100%防ぐという発想ではなく、インシデントはいずれ起きるものと仮定して、企業のBCP（事業継続計画）を再考する必要があります。そこでもっとも効果的なのが、インシデントが起きた後の原因究明・対応のためのCSIRTの設置です。

CSIRTを構築する3つの方法を紹介！

それでは、どのようにCSIRTを設置すればよいのでしょうか。JPCERT/CCの「CSIRTマテリアル」に基づき、CSIRT構築までの3つのフェーズを紹介します。

構想フェーズ：セキュリティリスクを評価する

構想フェーズでは、意思決定層と現場レベルの両方がプロジェクトに参画し、CSIRTの構想を練ります。自社のセキュリティリスクを評価したうえで、セキュリティポリシーを策定し、CSIRTにどのような機能を求めるかを決めます。

構築フェーズ：具体的な組織構造を決める

構築フェーズでは、CSIRTの構想を元に具体的な人選や組織づくりを行います。もしIT人材の確保が難しい場合は、社外の専門チームにインシデント対応を任せ、社内には連絡調整の機能のみを設置するような組織づくりも可能です。

運用フェーズ：平時の運用と有事の運用を確認する

CSIRTの運用は、平常時とインシデント発生時で異なります。平常時は自社のセキュリティリスクを評価し、セキュリティ対策の見直しを行います。情報セキュリティ教育を定期的に実施し、従業員のセキュリティ意識を高めるのもCSIRTの大切な役割です。

また有事の運用に備えて、JPCERT/CCのマニュアルに基づき、インシデントの発生原因の特定からシステムの復旧、再発防止策の検討までの一連の業務フローを明確にチーム内で共有しておく必要があります。

CSIRTの設置により、インシデントが起きた後の迅速な組織的対応を

サイバー攻撃の件数は年々増加しており、一方で情報システム部門の人手不足・負担拡大が深刻です。情報セキュリティ事故はいずれ起きるものだと仮定し、インシデントが発生した際のレスポンスを提供するCSIRTを設置しましょう。

構想・構築・運用の3つのフェーズに基づき、現場の情シス部門だけでなく、会社の意思決定層を巻き込みながら全社的な組織体制づくりが必要です。