Skip to content

セキュリティマガジン TREND PARK

CSIRT/SOCは標的型サイバー攻撃の有力な“砦”
効果を最大化する構築・運用のポイントとは


 現在、CSIRT/SOCを構築もしくは構築を検討している企業が増えています。その一方で構築を躊躇したり、構築しても運用できていない企業も多く存在します。構築・運用を阻む問題とは――。そしてその解決法とは――。CSIRT/SOCの構築・運用を数多く手がけているトレンドマイクロの佐山 享史が、現場で得た知見をもとにCSIRT/SOCを適切に構築・運用するためのポイントを解説します。

本稿は2014年11月21日に行われた情報セキュリティカンファレンス「Trend Micro DIRECTION」のセッションの採録です。

CSIRT/ SOCの構築・運用を阻む“壁”とは

情報セキュリティカンファレンス「Trend Micro DIRECTION」のセッションの様子

 「深刻化するセキュリティリスクを低減する仕組みとしてCSIRT/SOCの注目が高まっています。背景にあるのが、従来型のセキュリティ対策だけでは防ぎきれない標的型サイバー攻撃の増大です。内部犯による情報漏えいリスクも懸念されるため、『侵入を前提』とした対策としてCSIRT/SOCを導入する企業が増えているのです」。登壇したトレンドマイクロ スレットディフェンスSE本部 エンタープライズSE部 産業SE課 佐山 享史は、このようにCSIRT/ SOCのニーズが高まりつつある現状を示しました。

 SOC(Security Operation Center)とはセキュリティデバイスやサーバのログを監視し、インシデントを発見する組織の総称。危険がないかを常時監視する「警備員」の役割を担います。一方のCSIRT(Computer Security Incident Response Team)はインシデントの対応を行う組織の総称。危険が発生した時に活動する「火消し役」です。

 しかし、CSIRT/SOCのニーズが高まる一方、導入に二の足を踏む企業も少なくないといいます。「SOCの場合はコストの観点と組織・技術的な観点が大きなネックになっています。『コストをかけて専用のシステムを導入しても費用対効果が見えない』『ログを分析できる技術者がいない』『24時間365日のオペレーションが困難』などがその理由です」(佐山)。構築しても、効果の可視化や担当者への負荷といった運用面に課題を抱える声も少なくありません。

 CSIRTに関しては、情報セキュリティ委員会との違いがわからないというように、早期の必要性を感じない声も聞かれます。運用面では、必要な情報が適切にエスカレーションされないことなどで頭を悩まされている企業も見られます。「情報がエスカレーションされなければ、適切な対処は困難です。逆に携帯電話の紛失など困ったことがあると何でもエスカレーションされ、煩雑な作業に振り回されるケースもあります」と佐山は指摘します。

目的を明確にし「効果の可視化」を図ることが重要

 CSIRT/SOCがバズワードにならないためには、こうした構築・運用上の課題を解決することが重要です。
 「まずSOCに関してはオペレーションセンターを作ることではなく、モニタリング機能を作ることを検討することが大切です。その際、自社の技術力や人的リソースを考え、範囲を限定して、効果が見えやすいものから始めるのも一つの手。例えば、ウイルス対策のモニタリングで感染傾向や攻撃の傾向を把握するのも、広い意味でSOCの機能の一部です」と佐山は説明します。

 さらに「効果の可視化」に取り組み、費用対効果を目に見える形で示すことも重要なポイントです。「効果測定の指標として『インシデントの被害額を算定し、対応した実績を計算する』『インシデントによる業務稼働率の低下を算出し、対応した実績を計算する』などの方法が考えられます。具体的なリスクを想定し、対応によりどの程度の被害軽減が可能になるかを数値化すると効果がわかりやすくなります」(佐山)。

 CSIRTについては、前提として目的を明確にすること。何のためにCSIRTが必要であるかをしっかり把握することが重要です。「CSIRTは緊急対応を行う組織。既に実施しているのであれば『できている』ことを明文化する必要があります。CSIRTと同等の対応ができていれば、CSIRTとして体制を作り直す必要はありません。できていない場合は、対象となるシステムや脅威、インシデントの範囲を定義し、スモールスタートで始めるのが効果的です。また対応基準をしっかり作り、エスカレーション方法など社内教育を継続的に行うことも欠かせません」と佐山は言います。

CSIRTの対象範囲の特定例

対象システム、脅威、インシデントなどのスコープを定義した上で、対象システムにおいて何を脅威とし、インシデントに対してどのように対処するかを明確化します。

CSIRTの対象範囲の特定例

CSIRTの対応基準の設定例

インシデントの種別により「低」「中」「高」などの対応基準を設定。具体的にどのようなアクションを行うかをあらかじめ定義します

CSIRTの対象範囲の特定例

記事公開日 : 2015.01.15

ページの先頭へ