見出し画像

【CSIRT運用】インシデント管理ツール比較選定ポイント

テクノロジーでセキュリティをシンプルにするGRCS

CSIRT ( シーサート :  Computer Security Incident Response Team ) を組織している、またはこれから組織される企業様におかれましては、インシデントの管理をどのように行っていくか について課題を感じている方は多いのではないでしょうか?

CSIRTにおけるインシデント管理を円滑に行っていくためには、対応できるスキルを持ったエンジニアの育成 と合わせて 抜け漏れ防止 情報共有自動化ナレッジ化とプロセス改善のPDCAを回していくこと が不可欠であり、そのためには各企業様の組織や文化、スキル等に合ったインシデント管理ツールを適切に選ぶ必要があります。

今回はCSIRT運営について悩まれている方に、一般的なチケット管理ツールとCSIRTを始めとするセキュリティ運用に特化したインシデント管理ツールの、それぞれの特長を挙げて、インシデント管理ツールを選定すべきポイントについてご案内したいと思います。

企業様が自社に合ったインシデント管理ツールを選ぶ際、念頭にすべきポイントは主に以下の5つが挙げられます。

1. CSIRTとして最適化された機能が十分備わっているか

一般的なチケット管理ツールには、タスクの進行状況などチケット管理の一連の機能が備わっており、どのようにツールを使って運用していくのか、どんな項目を追加するか、自分たちでCSIRTの運用に合わせて一からカスタマイズすることができます。しかし専門的な分野をツールに落とし込むには多少自由度が高すぎる傾向があり、どれくらい効率的で有用なツールになるかはカスタマイズした個々の技術に依るところが大きいです。

CSIRTのような専門の知識を必要とするものに関しては、はじめから 代表的なインシデントの対応フローのサンプル 脆弱性対応の機能 があらかじめ備わっている「インシデント管理に最適化されたツール」を選ぶ事が効果的な場合が少なくありません。
専門家の監修などされたものだと、既に決められたフローに従って一定の水準でCSIRTの運用が可能となります。


2. インシデントチケットをやりとりする範囲

CSIRTを運用する際は、どれくらいの範囲でインシデントチケットがやり取りされるかで最適な手法は異なります。
他部門や子会社等とのやり取りが中心の場合は汎用的に使えるメールベース、またプロジェクトチーム内でなど限られた範囲でのやり取りが中心の場合はチケットベースなど、それぞれの業務フローと照らし合わせてツールを選定すると良いでしょう。


3. CSIRTに携わるプロジェクトメンバーの規模

CSIRTの運用に携わるプロジェクトメンバーはどれくらいでしょうか。
比較的少人数の場合は、専門的な内容の情報共有に特化したCSIRT専用のインシデント管理ツールが向いています。
またプロジェクトメンバーが多い場合は、専門的な情報共有に特化したものよりも情報の幅が広くなるような一般的なチケット管理ツールの方が導入効果は高くなると言えます。


4. インシデント管理の専任担当者(エンジニア)の有無

CSIRTを運用していく上で、CSIRTの専任を置くための人員が不足していたり、または専任を置いても教育に時間が取れない企業様は多いのではないでしょうか。
CSIRTのチームを立ち上げたはいいが、実際どう運用していいのか分からないという課題はよく挙げられます。

CSIRTに精通した専門の担当者が確保できない場合は、インシデント管理ツールを選ぶ際に、代表的なインシデントの対応フロー 実践的なトリアージ基準対応項目サンプル など、業務に直結するような実践的なものが備えられているものを選び、足りていないリソースを補うことができます。


5.クラウド、パッケージ、オンプレミス、各導入形態のポイント

・ クラウド(SaaS型)
サーバなどの準備不要、インストール不要、月額費用で提供され、必要な時にすぐ始められます。
セキュリティに特化しており、障害時などはクラウド事業者側での対応なので、業務に集中して運用が行えます
「クラウドファースト」と言われているように、ビジネスではサービスを導入の際にクラウドを第一候補として検討される傾向にあります。

・ OSSパッケージ製品
アプリケーション、システム開発・運用全般を含むパッケージ製品です。必要なものは揃っているので短時間で構築が可能、インストールすればすぐに利用でき、コストも安価で抑えることができるので、比較的小規模な環境に好まれる傾向があります。
しかし、安全に運用していくためには都度更新作業が発生し、怠るとセキュリティの面で障害が生じる場合があります。また、更新の際の費用も考慮しなければなりません。

・ オンプレミス
自社の中でシステムを構築し、自社の設備で運用します。
初期費等は高額となり構築までの工数もかかりますが、大規模な環境に適してます。
月額の運用費用は固定で、システムもカスタマイズしやすく希望に沿った運用が期待できます。
また、自社内の閉じたネットワークであるためセキュリティの面でも安心です。
しかし何かしらのトラブルが生じた場合、自分たちで解決しなければならず、運用管理のリソースが必要となってきます。


【関連製品】
CSIRTの専門性に特化したインシデント管理ツールのご案内

CSIRTに専任できる人員、またその知識、技術を確保できない企業様に向けて、CSIRT専門家によるプロのノウハウを詰め込んだCSIRT専用のインシデント管理ツールのご紹介です。

CSIRT に特化したインシデント管理ツール「CSIRT MT.mss」の特徴
1. セキュリティに特化した「クラウドサービス」(Salesforceベース)
2. インシデント対応と脆弱性への対応機能、可視化機能
3. 他部門、子会社等とのメールベースのやり取りが中心の業務
4. ツールに専任の担当者(エンジニア)を必要としない
5. 比較的少人数で専門的な内容の情報共有に特化したサービス

詳しい資料をご希望の方や、デモなどでCSIRT MT.mssを少し触ってみたい方など是非お気軽にご相談ください。


この記事が気に入ったらサポートをしてみませんか?