サイバーセキュリティ問題発生時の対応方法と体制の在り方
インターネットセキュリティは常に脅威にさらされている為、問題は大なり小なり発生しうるものとしてとらえ、以下の対応をする必要があります。但し、理想的な体制はかなり大きなものとなってしまうため、その組織の規模、事業内容によって、役割を担う人の兼務や内部、外部の使い分けを考慮する必要があります。
- 問題が発生しづらい取り組み
- 発生した際の迅速な検知・対応が取れる体制の構築
- 問題発生後は対処後の教訓を取り出す仕組みの作成
参考にすべきは米国の出している以下のドキュメントである。
原 典
NIST SP 800-61 Rev.2 Computer Security Incident Handling Guide
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
日本語訳独立行政法人情報処理推進機構 コンピュータセキュリティインシデント対応ガイドRev1
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025341.pdf
日本では以下に体制の構築方法が説明されている。
日本シーサート協議会 CSIRT人材の定義と確保 Ver2.1
1. グループ分類
最低限は以下の5グループが必要。
兼任グループ1[G1](連絡・全体統括)
社外PoC :自組織外連絡担当
社内PoC :自組織内連絡担当
リーガルアドバイザー:リーガルアドバイス担当
ノーティフィケーション担当:自組織内調整・情報発信担当、 IT 部門調整担当
コマンダー:CSIRT 全体統括担当
インベスティゲーター:調査・捜査担当
トリアージ担当:優先順位選定担当
兼任グループ2[G2](SOC)
リサーチャー:情報収集担当
キュレーター:情報分析担当
フォレンジック担当
兼任グループ3[G3](セキュティ戦略・製品評価)
脆弱性診断士:脆弱性の診断・評価担当
ソリューションアナリスト:セキュリティ戦略担当
兼任グループ4[G4](資産管理・教育)
セルフアセスメント担当
教育担当:教育・啓発担当
兼任グループ5[G5](インシデント対応)
インシデントマネージャー:インシデント管理担当
インシデントハンドラー:インシデント処理担当
2. 組織間の流れ
2.1 準備時
G1 → G3
2.2 通常時
G4
2.3 発生時
G1 → G5 → G2
2.4 対応時
G1 → G3 → G4
