キヤノンMJ/サイバーセキュリティ情報局

インシデント対応における組織構成はなにが重要なのか、SOCやCSIRTが求められる背景

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「SOCとCSIRTは何が違う?インシデント対応で求められる組織構成とは?」を再編集したものです。

 コロナ禍の影響もあり、加速するデジタル化の進展がセキュリティリスクの増大をもたらすという状況を招いてしまっている。こうした時代の変化に応じて、着実にSOCやCSIRTの重要性が高まりつつある。この記事ではSOCとCSIRTに関して、その違いとインシデント対応における組織構成について解説していく。

SOCやCSIRTが求められる背景

 デジタル化が企業の競争力の鍵を握る存在となって久しいが、コロナ禍でその状況はより加速してきている。いわゆるDX(デジタルトランスフォーメーション)の潮流もあり、政府も企業や公的機関のデジタル化を強力に支援するような政策を掲げている。企業や組織では、競争力強化のためのデジタル化とともに、サイバー攻撃に対する防御力を高めるセキュリティ対策を両輪で進めることが求められている。

 従来、セキュリティ対策はエンドポイントやゲートウェイに機器やソフトウェアを導入し、無差別型の攻撃からの侵入を許さないという前提で防御策を講じることが重視され、一定の成果を上げてきた。しかし、サイバー攻撃の手法が多様化し、標的型攻撃をはじめ巧妙化した手法による攻撃が増える状況下において、完全なる防御を目指すことは極めて現実的ではなくなってきている。

 このような背景から、攻撃の兆候を早期に見抜く、あるいはセキュリティインシデントが発生した場合に迅速な対応を可能にする必要性が高まっている。企業内にセキュリティ対策を専任とするSOCCSIRTといった専門組織を設置・運営することで、激化するサイバー攻撃に対する被害の最小化を目指す動きが強まっているのだ。

 ただし、SOCやCSIRTを担う人材には高度なセキュリティ知識が求められる。昨今の国内におけるセキュリティ人材の不足と、高度な知識や豊富な経験を求められることを背景に、SOCやCSIRTをアウトソースするケースも増えてきている。

SOCとCSIRTとの違い

 SOC、CSIRTともにセキュリティ対応を専門的に行なう組織のことである。このため、両者を混同して認識しているケースも少なくない。しかし、両者の役割は明確に異なる。

・SOC(Security Operation Center)

 組織内のファイアウォールやネットワーク機器、業務アプリケーションのログを取得し、攻撃の兆候を早期段階で見抜くことを目的とした組織である。攻撃が多様化、巧妙化する昨今では攻撃を見極めることは容易ではなく、高度なセキュリティ知識や経験が求められる。また、24時間365日、絶え間なく攻撃を監視する必要もある。そして、SOCの業務範囲には、ネットワークや攻撃の状況を可視化してレポーティング、あるいは必要なセキュリティ対策について提言を行なうことも含まれる。

 要するに、SOCとはセキュリティインシデントの「検知」を目的に、施策立案から実行までを網羅する組織であるといえるだろう。

・CSIRT(Computer Security Incident Response Team)

 インシデント発生時の「対応」に重点を置いた、インシデントレスポンスを担当するチームがCSIRTだ。インシデント発生時にその原因を速やかに解析し、影響の範囲を明確にすることで被害の最小化を目指す。

インシデント発生を前提とした「インシデントレスポンス」とは?
https://eset-info.canon-its.jp/malware_info/special/detail/200514.html

 一度、標的型攻撃のターゲットとして狙われてしまうと、攻撃が成功するまで執拗に狙われるケースが少なくない。まさに手を替え品を替え、攻撃を繰り返す。そのため、ある時点では万全のセキュリティ対策を講じていると考えていても、インシデントを完全に防ぐことはほぼ不可能と言わざるを得ない。こうした前提のもとで対策を行なうチームがCSIRTだ。

 CSIRTはもともと、セキュリティ対策における情報共有の重要性から米国では早期から設置されている。日本国内でも1996年にJPCERT/CCが設置され、攻撃手法の研究・分析や情報発信を担っており、さまざまな組織でCSIRTが立ち上がっている。CSIRT同士が連携してセキュリティ動向について共有し、所属する組織のセキュリティ対策について提言することも重要な業務となる。サイバー攻撃の増大と情報セキュリティの重要性が高まったことで、企業内にもCSIRTを設置する動きが広がっている。

企業・組織内CSIRTのチーム構成

 企業や組織内に設置されるCSIRTの役割は、サイバー攻撃の予防から攻撃を受けた際の速やかな対応まで広範囲に及ぶ。そのため、さまざまな役割を担うスタッフで構成される必要がある。

・CISO

 CISOとは「Chief Information Security Officer」の略称であり、 最高情報セキュリティ責任者と呼ばれる。セキュリティ対策を推進するには部門をまたいだ組織的な連携が必要であり、強いリーダーシップが求められる。CISOは経営層に近いポジションから部門連携を促し、セキュリティ対策を効果的に推進する役割が期待される。

・技術対応

 インシデント発生時にその原因を究明し、影響範囲を明確にする。また、SOCと連携して平時からセキュリティ対策強化に向けた施策を検討する。組織によっては、SOCがこの役割を担うケースも少なくない。

・内外との調整

 インシデント発生時に、影響が及ぶ部門との業務調整などを行なう。また、取引先などにまで影響が及ぶ場合に、その調整も必要となる。さらに、ケースによっては世間に公表することが求められる。広報部門と連携しながら、メディアなどと調整することも業務に含まれる。

SOCのアウトソースという選択肢

 慢性的なセキュリティ人材の不足は国内企業の共通課題と言える。こうした状況の中で、SOCやCSIRTを自社のリソースだけでまかなうことは難しいと言わざるを得ない。そのため、SOCのアウトソースを検討することも少なくない。ここでは、SOCをアウトソースすることのメリットとデメリットを確認する。

・アウトソースのメリット

 セキュリティ対策をサービスとして利用することが可能となる。SOCサービスを専門に行なう事業者は、数多くのサービス提供実績から豊富な知識と経験、ノウハウを蓄えている。自社単独では対応することが難しい高度なサービスを利用できる可能性がある。

 アウトソースにより、不足しがちなセキュリティ人材を雇用する必要がないため、採用や人材教育育成などのコストを抑制できるというメリットもある。24時間365日のサービス提供も契約によって可能となることが多い。

・アウトソースのデメリット

 自社にセキュリティに関するノウハウを蓄積できない可能性が高まる。また、アウトソース先の専門性や経験に依存することになるため、選定する際には慎重を期する必要がある。費用面においては、短期的には費用対効果は大きいが、長期的な観点ではコスト負担の総額が膨らむ可能性にも留意すべきだろう。

 アウトソースを選択する場合、外部の会社に丸投げして完全に依存することには一定のリスクがある。たとえアウトソースを利用する場合でも、自社内に一定規模のセキュリティ対策チームを立ち上げ、サービス提供会社と連携しながら、自社内にセキュリティ対策のノウハウ蓄積や体制の確立を目指すことが理想的だ。

企業成長における攻めのセキュリティ対策を

 セキュリティ対策は利益に直結しないことから、単純なコストとみなす企業も少なくない。しかし、セキュリティ投資に二の足を踏み、対策が講じられないようであれば、インシデント発生時に大きな損害を受ける、あるいは事業の継続性すら揺らぎかねない。すなわち、企業にとって大きなリスク要因となり得ることを踏まえると、デジタル化を進めるにあたって、セキュリティ強化に関するコストはもはや必然的な投資だとする意識へ転換すべき時期に来ていると言えるだろう。

 また、最近のコーポレートガバナンス重視の風潮から、自社のウェブサイト上でセキュリティ対策への取り組みを掲載する企業が増えてきている。企業経営におけるCSRの一環として、セキュリティ強化への取り組み自体の重要性が着実に認識されつつあるのだ。インターネットというネットワークで相互に結ばれる時代において、企業も社会の一員として、セキュリティ対策を適切に講じて悪影響を及ぼさないことが求められている。