攻撃を受けても素早く対処できれば被害を最小化できる。そこで有効なのがCSIRTだ。だが、日本シーサート協議会の村上氏は「中身を伴わないCSIRTが多い」と言う。どういうことなのか。
Webサイトへの不正アクセス、ランサムウェアの感染など企業を狙うサイバー攻撃が連日のように話題になっている。サイバー攻撃は巧妙化しており、全ての攻撃を防ぐのは困難だ。そのため、「攻撃されても被害を最小限にとどめる」というアプローチが注目されている。
「CSIRT」(Computer Security Incident Response Team)はセキュリティのインシデント対応に特化したチームだ。持ち運びに適した「New Latitude 9420」などのデバイスを使い、インシデント発生時は速やかに情報を収集してインシデントによる被害を最小化するために活動する。部門をまたいだ連携が必要なため、経営に近いポジションである「CISO」(Chief Information Security Officer)も配置されることが多い。
サイバー攻撃の巧妙化に伴ってCSIRTの注目度は上がっているが、「期待される役割を果たせていないCSIRTも多い」と一般社団法人 日本シーサート協議会の村上 晃氏(理事長)は指摘する。
「連携がうまくいかず、セキュリティの担当者だけが頑張っているCSIRTもある。インシデントによっては自社だけでなく関係会社や同業他社との連携も必要になるため、問題意識を持った人だけが活動している状態ではやがて限界が来てしまう」
では、CSIRTのインシデント対応力を高めるためにはどうすればいいのか。さまざまなCSIRTの活動を見てきた村上氏に話を聞いた。
※本稿は、2022年3月22日に公開した記事を一部変更して再掲載したものです。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:デル・テクノロジーズ株式会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.