CSIRT(Computer Security Incident Response Team)は、企業や組織内に設置する、情報セキュリティの専門チーム。主な役割は、(1)セキュリティ・インシデント(事故)に関する情報の集中管理、(2)社外に対する統一した窓口、(3)社内の各部署に対する指示系統や対応手順の構築──の3つ(図)。CSIRTがあれば、サイバー攻撃やウイルス感染といったセキュリティ事故に適切に対応でき、被害を最小限に抑えられる。
例えば、ある部署にウイルスメールが送信された場合、別の部署にも同じようなウイルスメールが届く恐れがある。こういったケースでは、すぐに情報を共有しないと、最初に届いた部署が難を逃れても、次に届いた部署ではウイルスメールを開く危険性がある。CSIRTを設置してセキュリティに関する情報を集中管理していれば、会社全体で危機の情報を共有でき、迅速に対応できる。
社外に対する統一された窓口に
社外に対する窓口になるのもCSIRTの重要な役割だ。企業サイトの改ざんや企業内パソコンからの不審な通信などは、個人ユーザーやパートナー企業といった外部からの指摘で判明するケースが少なくない。CSIRTを設置して連絡先を公開しておけば、外部からの報告を直接受けられる。
また、外部から情報が寄せられた際にはCSIRTに連絡するよう社内に周知しておけば、代表番号や他部署に第一報が入った場合でも確実に伝わる。JPCERTコーディネーションセンターのような公的なセキュリティ組織や他社のCSIRTにサポートしてもらう場合にも連携しやすくなる。
セキュリティ事故発生時の指示系統や対応手順を構築できるのもCSIRTを設置するメリットだ。
例えば、「Webサイトが改ざんされた場合」「社内パソコンがウイルスに感染した場合」など、セキュリティ事故ごとの対応手順や各部署への指示系統を事前に決められる。これにより初動が早くなり、素早く対応を始められる。
個人のセキュリティ担当者だけでは事前に手順を決めるまで手が回らず、対応が場当たり的になりやすい。手順が事前に決めてあっても、他の社員が指示に従わないこともある。
企業公認のチームであるCSIRTが作った対応手順なら社内規則などに組み込んで公式ルールにできる。特定の社員や部署にとって不利益になる場合であっても従わせやすい。
