JNSAメールマガジン 第65号 2015.7.17☆★☆

こんにちは
JNSAメールマガジン 第65号 をお届けします。

今年はJNSA十五周年記念ということで、秋に向けてイベントが盛りだくさんです。
現在は、日本セキュリティ・マネジメント学会様と共同での論文募集を行っています。
学生・社会人・JNSA会員・非会員の種別なくどなたでもご応募できますので、ぜひ奮ってご参加下さい。
※論文発表のアブストラクトの申込は7月31日迄です。
また、10月15日(木)にはJNSA十五周年記念シンポジウムの開催と、9月以降順次、十五周年記念セキュリティセミナー(札幌・大阪・岡山・鹿児島・沖縄)の開催も企画しています。
それ以外にも9月には、組織で働く人間が引き起こす不正・事故対応WG主催書籍出版記念セミナーと、マイナンバー対応情報セキュリティ検討WG主催のマイナンバー対策セミナーなども準備中です。
詳しいプログラムは近日中にWebページで公開しますのでお楽しみに!

さて、今回のリレーコラムは、CSIRTに関する寄稿の連載2回目です。

【連載リレーコラム(2)】
「第2回:CSIRTの構築」

(一般社団法人JPCERTコーディネーションセンター 村上 晃)

【JPCERT/CC(じぇーぴーさーと/しーしー)って?】

第1回目ではCSIRTの必要性についてご説明しましたが、第2回目は実際の構築フェーズについてです。

CSIRTの構築にあたっては、新たな組織として立ち上げるアプローチと、組織横断的な機能として構築するアプローチがあります。どちらのアプローチを選ぶかによってCSIRTの役割や対応範囲は大きく異なってきます。CSIRTの位置づけを語る時、よく引き合いに出されるのが、地域の「消防団」があります。普段は組織内で通常の業務に従事し、いざ火災となると、初期消火のためにメンバーが駆けつけて消火に当たる組織(機能)を思い浮かべてください。

消防団の比喩から類推できるように、CSIRTといっても、必ずしもインシデント対応の専任部署に情報セキュリティの高度な知識を持つ専門家が集まっている必要はありません。組織ではなく、必要な機能を、組織内や外部サービスとの連携の中で既存組織と整合性を保ちながら、実効性のある形で実現できるかどうかが実はCSIRT構築の成功のカギとなります。もちろん、教育や訓練を通じて、一定の専門性や知見を積んだメンバーを育成することも必要不可欠ですが、必ずしも一つの専任組織に集結させる必要はありません。したがって所謂バーチャルな組織横断的CSIRTとして構築することも可能です。

構築を検討する場合には事前に以下のポイントを検討してください。

    (1) 組織内CSIRTのセキュリティインシデントへの対応機能
    (2) インシデントの対処範囲(自組織でできることとできないこと)
    (3) 組織の資源(人・物・金)の制約条件とともに体制や予算

    【CSIRTの構築プロジェクト】

組織内でCSIRTの構築が決定されたならば、前述のCSIRTの機能や対象範囲を決めることになりますが、いきなりそれを議論するとなかなか前に進めないことがあります。やはり事前にプロジェクトとして事前の情報収集・分析、計画立案などのステップが必要になります。

初めてCSIRTを構築する組織のため、日本シーサート協議会は「CSIRTスタータキット」というツールを公開しています。
http://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf

CSIRT構築の過程を、計画立案〜運用開始の各7段階(Step0〜Step6まで)に分けて簡潔に説明しており、さらに、JPCERT/CCでは「CSIRTマテリアル」という資料を公開しています。
http://www.jpcert.or.jp/csirt_material/

こちらには、構想と構築、運用の3つのフェーズにおける考え方やベストプラクティスが網羅的に記載されおり、自組織の状況を踏まえつつ、細部をカスタマイズして活用いただきたい資料になっています。この資料には、「CSIRTスタータキット」で説明しきれない詳細や、CSIRTの運用で必要になる規定類やテンプレートなども収められているので、是非ご参考にしてください。

CSIRT構築の検討フェーズでは、プロジェクト成功のカギとなるCSIRT機能の整理について説明したいと思います。CSIRT構築を検討するなかで必ずと言ってよいほど他部署との連携や関係性の問題になる時があります。それは他部署の日常の業務や作業に口を挟んだりする場合や、組織の権限等についてあいまいになっている部分などが階層型の組織構造にとって課題になるからです。特に構築の時には事前に担当部署が所管するCSIRTに関連性のある機能を整理し、関連部署との調整や協議を行い、あらかじめ事前に取り決めとなるルールを(ポリシー等)整備する必要があり、こうした他部署との事前の協議や確認を怠るといざ、実際にインシデントが発生した場合迅速な対応が出来ない可能性がありますので十分検討が必要です。

以下は組織内CISRTとして必要な具備すべき機能です。ここでは大きく3つのフェーズに分けて紹介しています。個々の機能の詳細は前述の「CSIRTスタータキット」、「CSIRTマテリアル」を参照してください。

    【CSIRTの持つべき機能】

1.インシデント事後対応の機能

    ・ インシデントハンドリング
    ・ コーディネーション
    ・ コンピュータ・フォレンジックス
    ・ オンサイトインシデントレスポンス
    ・ インシデントレスポンスサポート
    ・ アーティファクトハンドリング
    ・ 脆弱性情報ハンドリング

2.インシデント事前対応の機能(事前準備)

    ・ セキュリティ関連情報提供
    ・ インシデント/セキュリティイベント検知
    ・ 技術動向調査
    ・ セキュリティ監査/査定
    ・ セキュリティツールの管理
    ・ セキュリティツールの開発

3.セキュリティ品質向上の機能(平時のとき)

    ・ リスク評価分析
    ・ 事業継続性、災害復旧計画作成・改変
    ・ セキュリティコンサルティング
    ・ セキュリティ教育/トレーニング/啓発活動
    ・ 製品評価・認定

これらの機能のうち、すでに組織内の関連する部署で実施しているもの、あるいはそうでないものを組織横断的にまずは整理して、組織内CSIRTとして不足している機能を洗いだし、その上で不足している機能をどのように補完するか、たとえば外部ベンダー等との協力を検討するとか、あるいは既存の組織に新たにその機能を肩代わりしてもらうなど、既存組織の持つ機能を最大限に活用しつつ、有機的に組織と機能をうまくマッピングできるようにすることで、インシデントに対する網羅性や対応能力の向上につなげることができます。

【CSIRT構築のポイント】

最後に、CSIRTの構築にあたっての留意点ですが、CSIRTに必要なすべての機能を単一の組織に集約するというアプローチは、コストと時間がかかる場合が想定されます。したがって組織としての体裁より、CSIRTの機能セットを取りそろえることを優先し、場合によっては一部の機能を他の既存組織に委託するなど、社内バーチャル組織として実現するアプローチなども柔軟に検討してみください。例えば、社外への情報公開は広報部門や総務部門の担当領域でしょうし、従業員に対する普及・啓発は人事部門が主管する人材育成プログラムに組み込むのも良いかもしれません。その時には当該関連部門に、CSIRT機能の一部を担っていることを意識してもらうことも重要になります。さらに、外部のセキュリティベンダー等の組織と連携することで、組織内では調達しにくい機能を実現しているCSIRTの例もあります。

CSIRTに必要な機能を持っている既存部門の有無を前述の機能一覧で確認し、すでに機能として存在する場合には、指揮命令系統の整理などの課題は伴うでしょうが、組織内の他部署間連携の可能性を検討し、機能の整備にフォーカスした、組織の体裁にこだわらないCSIRTの構築を推奨します。またCSIRTの活動予算についても、専従者の人件費や経費のほか、連携する他の部門におけるCSIRT関連経費の処理方法も検討しておく必要があります。

さらに国内外のカンファレンスやコミュニティに参加し、常に最新情報を収集するための費用や技術研修でスキルを磨くための教育研修費等の予算確保や、収集した情を組織内に展開するために必要なリソース(メール、Webサーバなど)を含む経費なども必要となります。

予算の計上方法や確保は、多くのCSIRTに共通した課題であり、継続的な安定した運用のために避けては通れないものです。CSIRTのようなリスク対応部門は、経理的にはコスト・センターになるので、活動予算の説明に先立って、組織の使命を明確にしておくことを推奨します。加えてセキュリティ対策に対する経営陣の積極的な関与も、大変重要な要素となります。

次回 最終回は「CSIRTの運用」について説明する予定です。



#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★いよいよ「RSA Conference Asia Pacific & Japan 2015」が来週開催されます。
ExhibitionではJNSA海外市場開拓WGメンバーによる製品・サービスのPR展示を行います。シンガポールでの開催とはなりますが、ぜひJNSAブースへお立ち寄り下さい!

★JNSA社会活動部会主催「ライトニングトーク夏祭り 2015」開催!
 参加者(聴講者、発表者)募集中です。
 ライトニングトークのテーマは、情報セキュリティに少しでも関わっていればどのようなものでも構いません。JNSA会員であればどなたでも登壇可能です。

  日時:2015年7月30日(木)16:00〜20:00
  会場:スタンダード会議室 虎ノ門スクエア2階

 お申込みはJNSA事務局までお願いします。

★7/23(木)16時より第4回スキルアップTF(電子署名WG)にて「HSM勉強会(HSMをガチで語ろう)」を開催します。
WGメンバー以外の方もご参加いただけます。
 日時:7月23日(木) 16:00〜18:00
 場所:西新橋 JNSA1階 会議室
    https://www.jnsa.org/aboutus/08.html

 会場定員に達し次第、受付終了しますので、参加希望の方はお早めにJNSA事務局までご連絡ください。
★6/22に開催しました「JNSA臨時スキルアップTF 実世界の暗号・ 認証技術に関する勉強会」発表資料を公開しました。
 https://www.jnsa.org/seminar/skillup/150622/


【事務局からの連絡、お知らせ】

★JNSA設立15周年記念論文募集のお知らせ
 設立15周年イベントの一環としてセキュリティに関する論文を募集します。募集要項は以下URLよりご確認ください。
 https://www.jnsa.org/seminar/2015/nssf15/paper.html


★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第65号 
発信日:2015年7月17日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.