専属スタッフを置けない小規模CSIRTのスタートアップを支援

  • セキュリティ・インシデントは年に2件程度発生
  • 100万円以内の予算で1ヶ月程度で構築
  • 専門家チームによるサポート付き

CSIRT(コンピュータセキュリティ事案対処チーム)

情報通信技術の進化に伴い、外部からの攻撃、内部の犯罪ともに、年々その手口も多様化しており、これまでの予防対策だけでは十分と言えない状況に至っています。従来は『防ぐ』ために様々な仕組みを導入した企業や団体は、『防ぐ』ことに偏っていた予算を、『対処』するための仕組みづくりにも割当てるようになりました。その代表的な仕組みが、CSIRTと呼ばれる体制の構築です。

CSIRT(Computer Security Incident Response Team: コンピュータセキュリティ事案対処チーム)は、『防ぐ』仕組みをすり抜けて、発生してしまったインシデント(事案)の分析、対応を行うための体制です。チームと呼んでいるのは、インシデントの内容によって組織内外の様々な部門や専門家がその対処のために一体となる組織運営となるからです。組織の業種や規模、事案の頻度や重要度によっては、この組織を専業化しているところもあり、こういった専業組織は、事案発生時の活動のみならず、日常的にセキュリティ品質を向上させるための事前準備として、情報収集や内部教育、内外の定期監査を行うこともあるようです。

『兼業CSIRTベストプラクティス』を開発した背景

ソリトンシステムズが提供する兼業CSIRT初期構築のためのベストプラクティスは、実際に発生した様々なインシデント(事案)の対応支援を実施してきた経験と実績がその背景にあります。ソリトンシステムズには、企業の不正や不祥事の対処や、サイバーセキュリティの事案対応を支援するサービスの専門組織があり、お客様や外部専門家とともに、その対処チームの一員として活動してきました。その経験から、公的機関や金融機関で運用中のCSIRTの支援サービスや、東証一部上場企業が初めて設置するCSIRT構築の支援サービスなどの実績を積んでいます。またソリトンシステムズ自体が兼業体制によるCSIRTを2016年4月に構築しており、2017年1月に加盟した日本シーサート協議会での活動や、他社CSIRTとの交流を通じて、自社を含めた国内CSIRTの現実についての知見を得ました。また、産官学が協働してサイバー犯罪に立ち向かうために設立された日本サイバー犯罪対策センター(JC3)にも正会員として参加し、国内のセキュリティインシデントの現実についての知見を得ています。これらの経験・実績・知見をまとめ、ある特定の条件化でのベストプラクティスをまとめたものを「テンプレート」として開発しました。

『ベストプラクティス』が適用可能な前提条件

兼業CSIRT初期構築のためのベストプラクティスは、表紙にある6つの条件の大半が当てはまる組織を想定して開発しています。すなわち、

インシデントがそれほど
多くない
本当に「インシデント」として対処しなければいけないレベルの事案発生が、年に1件、多くても四半期に1件程度の想定です。これ以上多い場合は、専業チーム構築のほうが合理的な場合もあります。
短期間で安価に基盤を作りたい 1ヶ月程度、100万円程度のコストで、まず兼業CSIRTの全体像を整備したいご要望に対応します。
専業組織ではなく一時的組織 普段は別の仕事をするメンバーが、発生したときだけチームを組み対処するという前提です。
社内に専門エンジニアが少ない IT部門が数名とか、セキュリティ専門家がいない、少ないことを前提としています。「インシデント」が多様化する現在において、全てに対処できるエンジニアや専門家を育成しようとすることには無理があるという前提です。
ガイドラインを読んだが
無理と感じる
経済産業省や情報処理推進機構(IPA)、JPCERTコーディネーションセンター、日本シーサート協議会などが公開している様々なドキュメントを読み込んでも、どこから始めるのかをイメージできない企業や組織を想定しています。
コンサルタントに依頼し
構築したが失敗
多くの予算と時間を割き、専門コンサルタントの言いなりで膨大な文書を整備したものの、実際にインシデントが発生したときに殆ど使えなかったという企業や組織を前提としています。

ベストプラクティス・テンプレート

想定する兼業CSIRTを構成するメンバーは、普段は日常の仕事に従事しています。 事案発生時に参照する手順は、短い時間で全体の流れとある程度の詳細を参照できなければ実際には使い物になりません。 ソリトンシステムズのベストプラクティス・テンプレートは、スモールスタートを前提とし、今現在の組織の中で既に整備されているものや周囲の関係者などを棚卸しすることで、 インシデント対応全体の基盤を短時間で構築します。

98万円・1ヶ月程度で「マニュアル」相当が完成

ベストプラクティス・テンプレートは、Microsoft Officeの文書ソフトの形式を中心に、一部は表計算ソフトの形式で納品します。 例文や例示をヒントに、自社の事情に合せて書き直したり、追記・削除等を実施することで、CSIRT活動の基盤となる「マニュアル」に相当するものが完成します。 標準的には1ヶ月程度で完成し、完成したマニュアルは、全ての別添書類を含めて50ページ前後となります。 企業の文書の位置づけとしては、規程の文書類より1ランク下位であることを想定しているため「マニュアル」としています。 緊急対処のマニュアルは、本来であれば少ないページ数であるほど実効性が高くなります。そこで、インシデント対応の各フェーズの重要項目を別添として、その部分のみを切り出して一覧できるような構成にしています。 このベストプラクティス開発に関わった専門家グループが、ご購入から1ヶ月に限り、3人時間までの無償サポートを実施します。

専門家チームによるサポート付き

ベストプラクティス開発に関わった専門家グループが、ご購入から1ヶ月に限り、3人時間までの無償サポートを実施します。 3人時間を越えるサポートが必要な場合は、1人時間2万円でのサポートを実施します。 なお、サポートする専門家グループの持つ専門性は、情報技術やセキュリティに限らず、企業経営のリスク管理や法務、不正検査など多面的です。サポートする専門家グループが持つ経験や認定資格を以下に記載します。

専門性・第三者認定など概要
上場企業の取締役経験 複数の上場企業での取締役経験者がチームにいます。企業のリスク管理や周辺の法律などについて系統的に理解しています。 また、同メンバーは内閣サイバーセキュリティセンターに設置された委員会のメンバーでもありました。
公認不正検査士(国際)
CFE(Certified Fraud Examiner)
米国ACFE(Association of Certified Fraud Examiners:公認不正検査士協会)が認定する資格で、 組織内の不正の防止、発見、抑止の専門家に与えられるものです。ACFE の調査によると、CFE 資格保有者がいない組織と比較して、 CFE 資格保有者がいる組織は、不正の検知までの期間が 50% 短く、不正による被害の総額が 62% 低いという結果が出ています。
CEH(国際)
認定ホワイトハッカー
CEH(Certified Ethical Hacker:認定ホワイトハッカー)は米国EC-Councilが認定する資格で、 最新のセキュリティ脅威、高度な攻撃手法と、最新のハッキングの技術、ツールや手口を学ぶことで取得できる国際認定です。 2018年3月に経済産業省が公表した「情報セキュリティ基準」に例示されています。
CISSP(国際)
情報セキュリティ・
プロフェッショナル認証
世界3大セキュリティ研究機関のひとつである(ISC)2(International Information Systems Security Certification Consortium)が 認定試験を行っている国際的なセキュリティ専門家資格。 技術よりマネジメント(管理)に立脚した専門家資格です。 情報セキュリティの共通言語とも言える『(ISC)2CISSP CBK』を理解している情報セキュリティ・プロフェッショナルのみに与えられる資格。
PMP(国際)
プロジェクトマネジメント・
プロフェッショナル
米国PMIが主催しているプロジェクトマネジメントに関する国際資格です。 PMI が策定した知識体系である PMBOKR (Project Management Body of Knowledge) ガイド に基づいて試験が実施され、 受験者のプロジェクトマネジメントに関する経験、教育、知識を測り、プロフェッショナルとしての確認がとれた人だけが資格を付与されます。
法務博士(専門職) 日本の法科大学院を修了した者に授与される専門職学位であり、原則として、学士の学位を修得した後に3年又は2年の課程を修了することで授与されます。
お問い合わせ

フォームからのお問い合わせ

お問い合わせ