TOUCH THE SECURITY Powered by Security Service G
情報セキュリティという分野の仕事は、とても広範に及ぶものです。その重要性が益々注目される昨今ですが、「興味はあるが、具体的な仕事の内容、範囲に関するイメージが湧きづらい」といった方も多いのではないでしょうか。今回は、その様々な業務や職種を「CSIRT(シーサート)」という組織を基に考えていきましょう。ITエンジニア職からセキュリティ領域へのアプローチを検討されている方などをはじめ、ご自身のビジョンを考える際の一助となると幸いです。
目次
CSIRTを知ろう
1.CSIRTとは
CSIRT(Computer Security Incident Response Team)とは、情報システムにおけるセキュリティ上の問題に対処すべく、専門の人員により編成されたチームの事を指します。現在多くの企業で自社内CSIRTが発足しており、セキュリティ事案に迅速且つ適切な対処を図るべく、様々な試行錯誤が行われています。企業の防壁の要となるCSIRTは、分野における最前線の業務のひとつといっても過言では無いでしょう。
2.CSIRTを構成する人物は誰か
CSIRTやそのミッションは、多くのIT従事者にとっては既知のものでもあるでしょう。しかし「社内でCSIRTを構成しているのは誰か」という質問には、Aさんは特定の部署全体を連想、Bさんは特定の人々を指すなど、「誰」のイメージは様々かもしれません。これはCSIRTの在り方に”規格”は無く、業種や事業形態によって、活動の定義に幅のある事をよく物語っています。それではこのイメージの定まりにくい「CSIRTとは誰」を、3つのケースを基に繙いてみることにしましょう。
JPCERT/CCの作成する「CSIRTガイド」では、CSIRTの組織例として以下が挙げられています。
出典 JPCERTコーディネーションセンター(JPCERT/CC) 「CSIRTガイド」
https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf (新しいウィンドウで開きます)
非常に可視的である「独立部署」タイプに対して、「部署横断」タイプもしくは「個人」タイプに相当するCSIRTは、役割に相応しい部署や人物が兼務を行う仮想のチームとも解釈できるでしょう。これは「誰」の解釈が様々である理由の一つなのかもしれません。
CSIRTを起点に考える、セキュリティの様々な職種と組織
1.CSIRTだけが企業の情報セキュリティを担うのか
CSIRTは、あらゆる情報セキュリティの問題に対処する「防壁の要」である事は上述の通り。では、新たにセキュリティ職種への道へ踏み出しつつある皆さんの中には、こう思われる方もいらっしゃるでしょうか。
「情報セキュリティ分野の奥義を極めるなら、何処かの企業のCSIRTに加わらないといけないのか。」
一理ある意見かもしれません。しかし一企業において、情報セキュリティを維持する為の業務スコープはあまりに広大です。更にはこれに不可欠な要素を平時・有事の様に定義すると、もはや全てをCSIRTだけが担う事は非常に困難。従って、要素は様々にアウトソースされ、CSIRTの一機能となってエコシステムの一翼を担う事業体も多数存在します。
そうです、新たにセキュリティ職種への道へ踏み出しつつある皆さん。どのような現場に就業されても、ご自身の業務が既にCSIRTというフレームの中にある可能性は非常に高いのです。
2.CSIRTの機能要件、そこに纏わる業務
ここでまず、日本シーサート協議会の作成する「CSIRT人材の定義と確保」より、”CSIRTの役割と業務内容”を紹介しましょう。
-
機能分類: 情報共有
社外PoC自組織外連絡担当 NCA、JPCERT/CC、CSIRT、警察、監督官庁、等々との情報連携 社内PoC自組織内連絡担当、IT部門調整担当 法務、渉外、IT部門、広報、各事業部、等々との情報連携 リーガルアドバイザー法務部CSIRT担当 コンプライアンス、法的内容とシステム間の翻訳 ノーティフィケーション担当自組織内調整・情報発信担当 各関連部署との連絡ハブ、情報発信 -
機能分類: 情報収集・分析
リサーチャー情報収集担当、キュレーター情報分析担当 定例業務、インシデントの情報収集、各種情報に対する分析、国際情勢の把握 脆弱性診断士脆弱性の診断担当 OS、ネットワーク、セキュアプログラミングの検査、診断 脆弱性診断士脆弱性の評価担当 OS、ネットワーク、セキュアプログラミング診断結果の評価 セルフアセスメント担当 平時のリスクアセスメント、有事の際の脆弱性の分析、影響の調査 ソリューションアナリストセキュリティ戦略担当 ソリューションマップ作成、Fit&Gap分析、リスク評価、有事の際の有効性評価 -
機能分類: インシデント対応
コマンダーCSIRT全体統括 CSIRT全体統括、意思決定、社内PoC、役員、CISO、または経営層との情報連携 インシデントマネージャーインシデント管理担当 インシデントの対応状況の把握、コマンダーへの報告、対応履歴把握 インシデントハンドラーインシデント処理担当 インシデント現場監督、セキュリティベンダーとの連携 インベスティゲーター調査・捜査担当 捜査に必要な論理的思考、分析力、自組織内システム理解力を使った内偵 トリアージ担当優先順位選定担当 事象に対する優先順位の決定 フォレンジック担当 証拠保全、システム的な鑑識、足跡追跡、マルウェア解析 -
自組織内教育
教育担当教育・啓発担当 自組織のリテラシー向上、底上げ
出典 日本シーサート協議会「CSIRT 人材の定義と確保 Ver.1.5」
http://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf (新しいウィンドウで開きます)
こちらの表は、一般的な企業活動の想定に基づき、CSIRTに必要とされる機能や役割を列挙したものです。うち、オレンジ色の箇所については、事業体によってはCSIRTの統括の元にアウトソーシングでの実装も可能と定義されています。
3.アウトソーシングでの機能実装イメージ
表のオレンジ箇所について、その役割が社内に存在する場合、社外アウトソーシングされる場合、それぞれの例をいつくか考えてみます。
情報収集・分析 > リサーチャー、キュレーター
リサーチャーの主な業務は、システムを構成する要素アプリケーション、サーバー、ミドルウェアなどに、なんらかの懸念となりうる情報が無いか調査を行うことです。様々なデータを収集し、これをふるいにかけます。そしてそれぞれの情報はキュレーターによって相関的な分析がなされ、最終的なリスク評価が下されます。しかし両者は必ずしも切り離した関係にあるのではなく、CSIRTの定義するリスク範囲などによっては同一の人物に託されるケースもあるようです。
リサーチャー
キュレーター
リサーチャーやキュレーターに相当する業務を集中的に行う組織を、一般的にSOC[Security Operation Center]と称します。
ITシステムを”利用する側”となる企業においては、この役務をパブリック向けのSOCサービスを展開する事業者へアウトソースして、公開サーバーなどに対するリスク監視・分析を行うのが一般的なCSIRTのモデルです。
イメージ例 ITシステムを”利用する側”となる企業がSOC業務をアウトソーシング
ITシステムを”提供する側”の企業、例えばまさにSOCサービスをパブリックに展開する事業者などは、この人材リソースの能力を有効活用する事で、自社の為のSOCを発足する事も可能でしょう。この場合、公開サーバー群のみならず、社内の全てのネットワークに対するきめ細かい脅威分析が可能となるはずです。CSIRTとの連携もより密なものとなるでしょう。
イメージ例 SOCサービスを展開する事業者が、人材をフルに活用
情報収集・分析 > 脆弱性診断士
脆弱性診断士の主な業務領域は、サーバーやネットワーク、WEBアプリケーションなどの安全性を確保し、これらに潜む脆弱性の検査を行い、診断結果の評価を行うことです。
脆弱性診断士
ITシステムを”利用する側”となる企業においては、リサーチ・キュレーションと同様、これらの役務に対する要員を自社に抱えるのではなく、外部の診断サービス提供者へアウトソースされるケースが一般的です。
また、ITシステムを”提供する側”の企業は、検査対象によっては自らがその役務を担う事も可能でしょう。但し、こちらについてはむやみに社内要員が活用されるのではなく、蓄積ノウハウや認証(クレジットカード情報を扱うシステムに対する診断)の保有といった面からも、外部の専門組織へアウトソースされ、その成果をCSIRTが一元管理するケースが多いのでは無いでしょうか。
まとめ CSIRTを知ると自身の方向性も見えてくる
情報セキュリティ職種に飛び込もうとする皆さんへ、その足掛かりとなるような情報をお届けするTOUCH THE SECURITY 第1回目。如何だったでしょうか。今回はよく耳にするであろうCSIRTについて、その多様な在り方、そこから派生する業務や組織などを少しだけ繙いてみました。
更に興味を持たれた方は、記事中にも資料を引用させて頂いたJPCERT/CCや日本シーサート協議会などのサイト、様々な企業におけるCSIRTの取り組みなどを検索してみて下さい。ご自身の目指すべき方向性が、より明確にイメージ出来るかもしれません。
