昨今のサイバー攻撃による被害の深刻化を受けて、企業や組織において CSIRT(Computer Security Incident Resopnse Team)を構築する動きが活発化している。
 
　先日、閣議決定された「サイバーセキュリティ戦略」をはじめ、日本経済団体連合会が公開した「サイバーセキュリティ対策の強化に向けた提言」、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」などにも CSIRTの整備や構築に関する記載があり、来るべき東京オリンピックに向けて、 CSIRTの普及、発展が見込まれる。
 
　本コラムでは、 CSIRT の必要性や現状などについて紹介する。
 
　(なお、本コラムは CSIRTについて基礎的な知識を理解していることを前提に記載している。 CSIRT の役割や組織については以下の URL を参照されたい。 )
 
  CSIRT ガイド - JPCERT コーディネーションセンター
   https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf
 
(1)CSIRT の必要性
(1-1)事前対策だけでなく事後対応も
　私が情報セキュリティを学び始めた 10年前頃は、予防的な対策によりサイバー攻撃からの被害を抑えることが情報セキュリティの主流的な考え方であったように思う。事前の対策を適切に施せば、サイバー攻撃によるデータの破壊や改ざん、情報窃取、システム停止などのセキュリティインシデント（以下、「インシデント」）は発生しないという意見も見受けられた。
 
　しかしながら、攻撃手法の巧妙化によって事前の対策では十分に対処しきれない事例も出てくるようになった。例えば、標的とする組織が日常的に閲覧している Web サイトを改ざんし、攻撃コードを設置する「水飲み場攻撃」や、ソフトウエアのアップデートサーバに侵入し、不正なプログラムを配信するアップデートハイジャッキングなどの攻撃は事前の対策のみでは対応が困難である。また、攻撃で利用される脆弱性についても、製品ベンダーが更新プログラムを提供していない、いわゆるゼロデイの脆弱性が利用される事例も少なくない。
 
　商用のセキュリティ対策製品も進化を続けており、非常に多くの攻撃を検知することが可能であるが、日々変化する攻撃の全てを検知するのは現実的には困難である。そのため、事前の対策を十分に行うことと併せて、インシデントの発生に備えた対応体制を構築しておくということが必要になる。
 
　インシデント対応支援の経験上、インシデントの発生を想定しない組織では、対応手順やルール（例えば、各部門の担当者、役割、権限、エスカレーションフローなど）が定まっていない、あるいは定まっていても形骸化しているために、初動対応に遅れが生じる。例えば、一般ユーザにサービスを提供している Web サーバに侵入を受けた場合、 Web サーバを停止すると売上に影響するとなると、インフラの運用を担当する情報システム部門だけでは Web サーバを停止するかどうかの判断は困難である。
 
　サービスを提供している事業部門、対外的に情報を発信する広報部門、場合によっては法務部門など組織横断的に状況を共有し、対策を協議したうえで迅速な意思決定が求められる。もちろん、組織への影響が大きいインシデントであれば経営層へ報告し、判断を仰ぐことも必要となる。対応手順やルールが定まっていない状態では、議論が長引く傾向にあり、ともすれば犯人捜しが始まってしまうこともある。
 
　また、手順やルールだけではなく、誰が動くかということも考えなければならない。動くべき人が、 CSIRT としてインシデント対応の役割を持っていない場合は、職掌、工数、業務へのアサインなど組織内の事情が原因で、イザと言うときに動けないということにもなりかねない。
 
　全てのサイバー攻撃を事前対策だけでは防げないため、迅速なインシデント対応による被害の軽減を目的として、 CSIRT のような緊急対応体制を備えることは組織にとって非常に重要であると言える。
 
(1-2) 外部組織からの連絡
　ある組織で発生したインシデントを初めに検知するのは必ずしも被害組織ではなく、それよりも先に組織外の人がインシデントに気づくこともある。例えば、攻撃者が脆弱性を利用し Web サーバに保管されているデータを窃取した後に、インターネット上の掲示板にデータを公開するような事例である。
 
　私が技術アドバイザーを務める一般社団法人 JPCERTコーディネーションセンターでは、そのように意図せず公開されているデータを見つけた場合に、被害組織の CSIRT 窓口やセキュリティ担当者（もし居なければ Web サーバ管理者など）に対し「サイバー攻撃による被害を受けている可能性がある」旨の連絡を行うことがある。
そうした事例は珍しいことではなく、共同通信社の取材でも、２０１５年にサイバー攻撃によってデータが流出したことを明らかにした国内組織１４０組織のうち７５組織が、発覚のきっかけは外部からの連絡だったと発表している。
 
　被害を受けている可能性がある組織に連絡する際に、日常からサイバーセキュリティの動向を把握している担当者が、組織内にいる場合は情報の受け渡しがスムーズに進む。しかしながら、そうした担当者がいない場合は、攻撃の背景、攻撃手法、被害による影響など説明し、状況を理解していただいたうえで、対応を始めるため相当時間がかかる。 JPCERT コーディネーションセンターでの事例では、窓口となる担当者を設置していない組織にインシデントとそのリスクを適切に伝えるために 60日以上の時間を要したこともある。
 
　外部からの連絡が担当者まで届き、報告内容の精査を踏まえて、迅速な対応に繋げる体制としての CSIRTという観点も重要である。
 
(1-3)組織内外での信頼醸成
　自然災害の分野では、リスクコミュニケーションという考え方がある。自然災害のリスクについてテレビなどで広く伝えても、視聴者の行動には直接は結びつきにくいという調査結果がある。
 
　同じ専門家でも、それほど面識がない人に「危ないから逃げろ」と言われるのと、日常から付き合いがある人から同じことを言われるのでは、行動に移す確率が異なるというのは直感的にも理解できる。
 
　リスクコミュニケーションの観点から考えると、情報の受け手が行動を起こすためには、継続的なコミュニケーションを通じた信頼醸成が効果的であるとされている。捉え方によっては「義理人情浪花節」の世界と通じるところもあるが、私はサイバーセキュリティの世界でも同じことが言えると考えている。やはり、専門家として信頼している人からの情報は重みが違うものである。
 
　外部窓口にも関連する事ではあるが、そうした関係から得られる情報から、迅速なインシデントの検知、対応につながることもある。 CSIRTを通じた信頼醸成が、間接的な効果ではあるが、サイバーリスクの軽減に繋がると信じている。なお、信頼醸成において CSIRTのコミュニティである日本シーサート協議会や FIRSTのような場は非常に有用である。
 
(2) CSIRTの現状とこれから
　ここ数年間で日本シーサート協議会の一般会員数は急増し、現在１１６組織まで達し、今後も増加傾向が続くとみられる。私個人は、かなり極端な主張を掲げており、経団連加盟企業 1,329社、証券取引所に上場している企業 3,507社すべてに CSIRTを構築するべきだと考えている。
 
　例えば、経団連の入会資格には「リスク管理体制・内部統制システムが導入・整備されていること」という要件があり、また上場企業には「事業等のリスク」の開示することが義務づけられている。昨今のサイバー攻撃による被害の深刻さに鑑みると、サイバー攻撃による経営上のリスクは決して看過できないものであり、リスクマネジメントの一環として、インシデント発生を想定した組織横断的な対応体制、すなわち CSIRTが必要である。
 
　一方で、増加に伴い課題も見えてきている。形式的に CSIRTを構築したものの、実効性をもたない「名ばかり CSIRT」も増えていると聞く。これは、 CSIRTは組織内の既存枠組みや文化によって適した体制が異なるため、他のセキュリティ関連標準などと比較して、一律に評価しづらいためである。そうした課題に、日本シーサート協議会のワーキンググループでも、 CSIRTが持つべき機能や役割に対する評価方法や、 CSIRTに必要な人員について明確にするため資料を公開しているが、更なる CSIRTコミュニティの発展のため、産官学一丸となって引き続き議論を深めていければと考えている。