CSIRTとOneTrustソリューション

2023年11月14日 2024年7月25日

Yamamoto

はじめに
CSIRTとは？
CSIRTの種類
CSIRTコミュニティ
自社のCSIRTの成熟度を判定するには
体制
CSIRTを支援するソリューション : OneTrustのご紹介
さいごに

はじめに

以前のブログ「サイバーセキュリティとプライバシー」でも触れましたが、組織が不正なデータアクセス問題に対処するためには、セキュリティとプライバシーについてIT セキュリティ部門とデータ保護責任者がそれぞれ個別に対応するのではなく、問題を解決するために両者が協調して、対応および対策を進めていくことが重要です。

こうした協調した取り組みや組織間の連携は、経営層の理解、組織体制づくりが重要なのはもちろんですが、実際にインシデントが発生した場合の対応手順やプロセスの構築も重要です。また、あらかじめ決められた対応手順やプロセスが正しく実行され機能することが重要ですが、それには、机上でのテストおよびそれらが機能するようにサポートするための仕組みづくりも必要不可欠です。

今回のブログでは、インシデント対応を専門的に担当するCSIRTについて紹介するとともに、OneTrustのソリューションがインシデント対応においてどのように役立つのかについて紹介します。

CSIRTとは？

CSIRTは、Computer Security Incident Response Teamの略で、シーサートと読むのが一般的です。

一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会の「CSIRTスタータキット」では、CSIRT は、「発生したインシデントに関する分析、対応を行うだけでなく、セキュリティ品質を向上するための教育、監査などの活動を行う組織である」と述べられています。

CSIRTの国際的なコミュニティとして、FIRST（Forum of Incident Response and Security Teams）の「CSIRT Fundamentals」では、CSIRTはインシデントのマネジメントを行う専門組織であり、役割の役割が挙げられています。

定義されたCSIRTが保護すべき対象者（ステークホルダー）を支援する
インシデントサイクル全体を通してサービスとサポートを提供する
並行して発生した複数のインシデントに対応できるマルチタスクと組織的なスキル（organizational skills）が求められる
その企業や組織に合わせた仕組みを構築する（その組織のCSIRTが提供するサービスや役割に応じて柔軟に）
- 　組織体制と人員配置
- 　提供されるサービス
- 　ポリシーと手順

日本では、経済産業省による「サイバーセキュリティ経営ガイドライン第3版」においても、CSIRTの設置が呼びかけられています。

CSIRTの種類

CSIRTには種類があり、前回のブログ「EUのサイバーセキュリティに関する法律: NIS2指令について」で取り上げた（CSIRTネットワークを構成する）国家レベルのCSIRTについては、以下の６種類の中では「National CSIRT」にあたります。

・組織内シーサート（Internal CSIRT）
　自組織や顧客に関係したインシデントに対応する。一般的な企業内CSIRTが通常属する。
・国際連携シーサート（National CSIRT）
　国や地域を代表する形で、そこに関連したインシデントについての問い合わせ窓口として活動する。JPCERT/CCが代表例。
・コーディネーションセンター（Coordination Center）
　協力関係にあるほかのCSIRTとの情報連携や調整を行う。CERT/CCやJPCERT/CCが代表例。グループ企業間の連携を担当するCSIRTも存在する。
・分析センター（Analysis Center）
　インシデントの傾向分析やマルウェア解析、攻撃の痕跡を分析し、必要に応じて注意喚起を行う。
・ベンダチーム（Vendor Team）
　自社製品の脆弱性に対応してパッチを作成したり、注意喚起をしたりする。
・インシデントレスポンスプロバイダ（Incident Response Provider）
　組織内CSIRTの機能の一部を有償で請け負うサービスプロバイダー。いわゆるセキュリティベンダーやSOC（セキュリティオペレーションセンター）事業者。
出典：Wikipedia「CSIRT」

CSIRTコミュニティ

FIRST

FIRST（Forum of Incident Response and Security Teams）は、CSIRTの国際的なコミュニティです。

FIRSTのHISTORYページによると、FIRSTに加盟するCSIRTチームは、2015年時点では316でしたが、2023年には倍の682に上り、日本からは44のチームが参加しています。(2023年10月12日時点)

SIG(Special Interest Groups)と呼ばれるワーキンググループ、標準化を推進するスタンダードグループ、ディスカッショングループなどがあり、それぞれのグループでミッション、ワーキンググループが達成すべき目標や成果物が定められています。

Firstでは、出版物のほか、トレーニングマテリアルが提供されています。（すべてのマテリアルは、クリエイティブコモンズ BY-NC-SA 4.0ライセンスに基づき、非商用目的でのマテリアルの利用を許可しています。）

日本シーサート協議会

日本シーサート協議会（NCA　※正式名称は一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会）は日本のCSIRTコミュニティです。

日本シーサート協議会には国内の多くの企業のCSIRTが参加しており、日本におけるCSIRTコミュニティとしてワークショップやセミナーなど様々な活動を行っているようです。

日本シーサート協議会のHPには、スターターキットをはじめ、CSIRTの構築について有用な情報が複数あがってます。

自社のCSIRTの成熟度を判定するには

CSIRTの成熟度を判定する上で、「SIM3」モデルは非常に有名です。

SIM3は「組織=O」「人材=H」「ツール=T」「プロセス=P」にわかれており、それぞれのアルファベットのことをパラメータと呼び、SIM3に含まれる各質問は、パラメータと番号（例えばO-1やP-2）で表現されます。

SIM3は、インシデント対応およびセキュリティチームの世界的なフォーラムであるFIRST (Forum of Incident Response and Security Teams)へのメンバーシップ加入プロセスや TF-CSIRTコミュニティのTI Certificationにおいても使用されています。

自社のCSIRT成熟度をSIM3モデルを使用し判定することが可能です。

体制

経済産業省では「セキュリティ統括機能」のイメージとして、以下のような組織体制を例示しています。

CSIRTを支援するソリューション : OneTrustのご紹介

OneTrustのソリューションは、組織内のCSIRTの業務をサポートするための機能が用意されています。

インシデントの追跡と管理： OneTrustは、セキュリティインシデントを追跡および管理するための機能を提供しています。これには、インシデントの詳細の記録、タスクの割り当て、解決の進捗のモニタリングなどが含まれます。
自動化とオーケストレーション： OneTrustは、インシデント対応プロセスの特定の側面を自動化し、タスクと対応時間を効率化するのに役立ちます。これは特に繰り返し実施される作業や時間の制約のある活動に対して有益です。
コンプライアンスと報告： OneTrustは、さまざまなデータ保護規制に準拠するための組織を支援します。CSIRTチームは、プラットフォームを使用してインシデント対応活動が対象となる法規制で求められている要件と一致していることを確認できます。また、監査や規制遵守の状況確認のためのレポーティング機能も提供しています。
データマッピングとインベントリ： OneTrustはデータマッピング機能を提供し、組織内の機密データがどこに存在しているかを理解するのに役立ちます。これは、インシデントの調査と対応の際に非常に重要な情報です。
協力とコミュニケーション： インシデント対応中の効果的なコミュニケーションは重要です。OneTrustは、メンバーがリアルタイムで情報を共有し、協力して作業を調整したり進捗を管理できるツールを提供しています。
リスク評価と軽減： OneTrustは、セキュリティインシデントに関連するリスク評価を行うことができます。CSIRTは、各インシデントの影響と潜在的なリスクを評価するためにこの機能を使用し、脅威の優先順位付けと軽減においてより良い意思決定ができます。
他のセキュリティツールとの統合： OneTrustは、さまざまなセキュリティツールやテクノロジーと統合(Rest APIで連携）することができ、より一体化したセキュリテインフラを構築することができます。統合により、CSIRTは既存のセキュリティ投資を活用し、インシデント対応への投資を削減でき、ROIを高めることができます。
トレーニングと意識向上： OneTrustは、セキュリティのベストプラクティスに関する従業員の教育に使用できるトレーニングと意識向上モジュールを提供しています。これは組織内で積極性のあるセキュリティ文化を促進し、インシデントの発生を減少させるのに役立ちます。