CSIRT運用のポイント
「目指せ! CSOへの道」 (3)

タイトルイメージ第三回

本稿では、コラムとして毎月、次世代の「CSO」(Chief Security Officer:セキュリティ最高責任者)を目指す方を対象に、セキュリティ対策のポイントについて述べていきたいと思います。

前回(2)*でCSIRTの構築のステップについてお伝えしました。今回はCSIRT設立後の具体的な運用について、見落としがちな点を列挙しながら段階的に詳細に見ていきます。PDCAサイクルを回しながら運用レベルを上げていくためのポイントをご紹介します。

コラム「目指せ! CSOへの道」(2) ~ CSIRT構築のステップ ~

CSIRT運用のキモは「インシデントハンドリング」にあり

企業情報セキュリティの司令塔であるCSIRTの活動内容は、平時の啓蒙活動からユーザーへの教育、新たに発見された脆弱性への対応まで幅広い領域に及んでいます。その中でも特に重要性が高いのが、実際にセキュリティインシデントが発生した場合の対応、――いわゆるインシデントハンドリングと呼ばれるものです。自社内にCSIRTを立ち上げた際にも、おそらく最初に期待されるのが、この部分がうまく機能するかどうかという点でしょう。そこで、今回はインシデントハンドリングにフォーカスを当て、CSIRTの運用について考えていきたいと思います。

対応プロセスをきちんと整備することが重要

さて、最初に結論から述べてしまいますが、インシデントハンドリングにおける最大のポイントは、インシデントの発生(発見・報告)から解決に至るまでの一連の手続きを、きちんとプロセスとして整備するという点にあります。もちろん、CSIRT未設置の企業においても、マルウェアの感染などが発覚した場合には、隔離/駆除などの作業を行うことでしょう。しかし、こうした対応が担当者レベル、あるいはその場その場の対応に留まっていたのでは、組織としてのセキュリティレベルは高まりませんしノウハウも蓄積されません。様々な脅威に迅速・的確に対処するためには、どのような流れで、どのようにインシデントを処理していくのかというプロセスを明確にしておくことが必要です。また、最終的には、このプロセスをマニュアルとしてドキュメント化し、人に依存しない対応が行える体制を築くことが望まれます。

Pocket

コメント