事故後の対策が重要視される
CSIRTやログ分析の現場適用が進む

 脅威の増大とともにその対策領域は拡大している。標的型攻撃の対策だけでも多岐にわたる。事故後の対策としてCSIRTやログ分析が注目を集めている。

CSIRT:事故があったら迅速対処

 「もはや攻撃は防げない」。この前提に立ったとき、いかに早く攻撃を検知し、すぐ対処できるかが重要になる。そのための対策の一つが、事故(インシデント)対応のための専門チームである「CSIRTシーサート(Computer Security Incident Response Team)」だ。CSIRTを立ち上げて、事前に事故対応のフローを検討しておけば、迅速に対処できる。

 CSIRTは、事故発生時に事象を分析し、優先順位を付けて対処する。関係者に連絡を取りつつ、最終的にはシステムを復旧させ、その報告を行う。こうした事故対応のほか、脆弱性対応や注意喚起、教育などセキュリティ全般を幅広く取り扱う(図1)。社内の対応だけでなく、「外部向けの対応者」にもなる。これにより「他社と情報を共有したり、通報をスムーズに受け付けたりできる」(JPCERTコーディネーションセンター 早期警戒グループリーダーの満永拓邦氏)。

図1●CSIRTとは
図1●CSIRTとは
CSIRTは社内のセキュリティ問題を扱う組織(専門チーム)のこと。インシデント発生時の対応のほか、社内 や社外との窓口となる
[画像のクリックで拡大表示]

 CSIRTの実現方法は、専門部署を作るだけでなく、複数の部署にまたがる仮想的なチームを作るなど、企業によって異なる。「スムーズな対応を実現するには、システム管理部門だけでなく、営業や広報など異なる部門の人で構成することが重要」と満永氏は指摘する。