【まとめ】CSIRTについて
こんにちは!
Kaetecの中の人です!
本日はアウトプットです。
今日はCSIRTについてまとめていこうと思います。
CSIRT
CSIRT(Computer Security Incident Response Team)とは情報セキュリティにまつわる何らかのインシデントが発生した時に対応する組織の総称です。
日本で一番有名なものはJPCERT/CCですね。
日本のCSIRTのTOPとして機能していて、国際連携の窓口としての役割を持っています。
CSIRT自体はJPSERT/CCのような国単位のものから組織単位のものなど、様々な水準のCSIRTが存在します。
CSIRTの役割
CSIRTの役割のメインは利用者からのインシデント情報を受けることです。
窓口を統一して利用者が素早く・正確に報告できる体制を整えます。
報告を受け取った後、初動対応や原因分析をします。
初動対応や原因分析について、自組織内のCSIRTだけでの対応が難しい場合は自組織内だけで解決しようとする必要はありません。
外部のCSIRTと良い関係を築いておき、状況に応じて協力できる体制を整えておくことも大事な役割です。
また、インシデント情報を受け取る際にその情報が改竄されないように対策を講じておくこともCSIRTの重要な役割です。
SOC
SOC(Security Operation Center)はCSIRTとよく似ています。
何が違うのかというと技術よりかマネジメントよりかの違いです。
CSIRTはマネジメントよりで、セキュリティポリシーやセキュリティマネジメントシステムを実体化し、PDCAサイクルを回してよりよい運用ができるように機能しています。
SOCはセキュリティ機器の調達や設置、その運用を行います。
政治家と専門家みたいな関係性だなーと個人的には思いましたw
CSIRTガイド
CSIRTガイドとはCSIRTを構築する経営者・CIO・CSIRTメンバーのために、JPCERT/CCが推奨される必要事項について説明したものです。
https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf
どこのインシデントに対応するのかに応じて6つに分類しています。
ガイドには運用にあたっての推奨事項が細かく記載されているのでしっかりと読んで理解しておくことが大事ですね。
おわりに
いかがでしたでしょうか。
CSIRTって響きがかっこいいですよねw
安全確保支援士の勉強も兼ねてまとめてみましたが、試験が無くても情シスとしてはガイドをしっかりと読んで運用に問題が無いかチェックできるレベル感にはなっておきたいところですね。
情シスの運用やインフラの構築などでお困りの方は是非ご覧ください!!