数年前より”事故前提社会”の必要性が叫ばれ、その一つの対策として多くの企業でCSIRT(Computer Security Incident Response Team)の構築が進みました。
一方で社内外の業務/サービスのデジタル化(DX、デジタルトランスフォーメーション)によって、あらゆる業務にITが組み込まれ、CSIRTの業務範囲が加速度的に広がっております。その結果、CSIRT疲れと揶揄されるCSIRTメンバの高稼働状況や、CSIRTがきめ細やかな支援ができないことによるリスクの顕在化が発生しています。
このような状況に対して、一部の先進的な企業では、事業主体の部署に○SIRTと呼ばれる情報セキュリティ組織を構築する活動が進んできています。
本記事では、これら次世代のセキュリティ組織について、その概要を簡単に紹介します。
- NRIセキュアが提供する
- 「CSIRTの構築~運用~評価まで総合支援サービス」について詳しく見る
- https://www.nri-secure.co.jp/service/consulting/csirt
事業主体で構築するセキュリティ組織が求められる理由
昨今、デジタル化といった言葉が良く取り上げられます。
デジタル化を簡単に定義すると、AI技術に代表される新たなIT技術やネットワーク接続された様々な製品を利用して、既存業務の自動化/効率化や新たなビジネスモデルのサービスを提供することです。
デジタル化は企業にとって新たな価値を生み出す機会を与える一方、企業を狙う悪意者に対しても同様に新たな攻撃の機会/対象を与えます。
そのため、企業の情報セキュリティを守るCSIRTは、より多くの対象を守る必要が出てきています。
CSIRT(Company SIRT)とは
CSIRT(シーサート)とは、サイバー攻撃をはじめとした情報セキュリティの事故に対応する、専門チームのことを指します。
セキュリティ事故が発生してしまった場合には、社内外での調整を行い、初期の事態収束化に対応します。組織横断の横の連携を図り、どこに事態報告すれば良いのか、技術的にどのような支援を受ければ良いのか、被害拡大防止のために何をすればよいかなど、迅速に状況判断が求められます。また、平時は予防の観点から、情報収集や社内の啓蒙活動を実施します。
しかしながら、CSIRTがデジタル化された全ての自社製品・自社業務・自社サービスの本質を理解し、適切なセキュリティ対応を行うのは現実的に無理があります。
そこで、昨今、一部の先進的な企業では、事業部側にxSIRTと呼ばれるセキュリティ組織を構築し、一部のセキュリティ関連業務を任せる取組が始まっています。xSIRTとは”x”に当該組織が守るべき対象を指す頭文字が入るセキュリティ組織の名称です。このあと代表的なxSIRTであるPSIRTとFSIRTとSSIRTについて解説します。
外部脅威から製品を守るPSIRT(Product SIRT)とは
組織概要
Product SIRT(PSIRT)は、自社が製造/販売した製品の安全確保のため、製品の安全性を脅かす外的脅威に対するセキュリティ対応を専門に実施する組織です。
製品の開発ライフサイクルにおけるセキュリティ脆弱性に関わるリスクマネジメントや、セキュリティインシデント発生時の有事対応を行います。
構築の背景
デジタル化に伴い、車や家、電化製品等がインターネットに接続される機器が加速度的に増えています。このコネクティッド化によって、従来のITシステムと同様に、IoT機器に対し脆弱性をつくサイバー攻撃を受けるリスクが高まっています。
また、セキュリティ対策に不備がある製品のリリースが多大な批判に晒されることも多くなってきており、レピュテーションリスクも増大してきています。直近の事例としては、外部からの脅威に対するセキュリティ脆弱性を理由に、大規模リコールに発展する事態も発生しています。そのため、製品開発におけるセキュリティ対策は事業上における重要な要素となってきています。
このような状況に対し、自社製品を外部の脅威から継続的に守る専門組織の必要性が高まり、多くの製造業でPSIRTの構築が始まっています。
- ※PSIRT自体はこれまでもソフトウェアプロダクトメーカーを中心に整備が進められてきており、FSIRT/SSIRTと比べると、比較的新しい組織ではありませんが、デジタル化に伴いIT技術を利用した製品を提供する企業が増え、その必要性が高まってきていること、事業部に構築するセキュリティ組織という共通点があることから本記事では取り上げています。
外部脅威から工場を守るFSIRT(Factory SIRT)とは
組織概要
Factory SIRT(FSIRT)は、工場の安定稼動実現のため、安定稼動を脅かす外的脅威に対するセキュリティ対応を専門に実施する組織です。工場内のネットワーク設計、工場設備へのパッチ適用判断、マルウェア感染時の応計画の策定、工場に対するサイバー攻撃発生時のインシデント対応等の業務を実施します。
構築の背景
工場機器や作業員が利用する多くの機器を外部ネットワークとの接続し、生産性や品質の向上を目指す取り組みが始まってきています。これらの取組は企業にとって大きなメリットを提供する一方、今まで存在しなかった外部からの接続点の登場により、工場に対するサイバー脅威が顕在化してきています。
直近の事例としては、工場設備に影響を与えるランサムウェアが登場し、工場の大規模停止によって事業に致命的な被害を与える事態も発生してきています。
このような状況に対し、工場を外部の脅威から継続的に守る専門組織の必要性が高まり、先進的な企業を中心に、FSIRTの構築及び構築検討が始まっています。
FSIRTについては以下の記事でも詳しくご紹介しています。
工場セキュリティ対策のポイント(後編)|「構成情報管理」の効率化が鍵
外部脅威からデジタルサービスを守るDSIRT/SSIRT(Digital Service SIRT)とは
組織概要
Digital Service SIRT(DSIRT/SSIRT)は、サービスを安全かつ継続的に提供するため、サービス継続を脅かす外的脅威に対するセキュリティを専門に検討する組織です。サービスの開発ライフサイクルにおいて、安全なサービス設計、サービスの悪用/炎上を想定した対応計画の策定、大規模なサービス悪用/炎上発生時の対応を実施します。
構築の背景
デジタル化に伴い、サービスのセキュリティ設計においては従来のCIA(機密性・完全性・可用性)の概念だけでなく、プライバシー・安全性・ユーザ信頼性等の観点の考慮が必要となってきました。
様々な提供形態が存在するデジタルサービスにおいてこれらを担保するには、サービスに対する深い理解とこれらサービス特有のリスクに対する専門知識が必要となります。
また、新たな価値を提供するデジタルサービスに対して、その価値を詐取するサービス悪用も増えてきています。
直近の事例としては、プライバシー情報を適切に取り扱っていない企業がGDPRによる制裁を受ける、セキュリティ設計が不足しているFintechサービスをリリースし、多大なサービス悪用が発生するといった事態が発生してきています。
【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策
このような状況に対し、サービスを継続的に守る専門組織の必要性が高まり、先進的な企業を中心に、DSIRT/SSIRTの構築及び構築検討が始まっています。
CSIRTと三つのxSIRTの関係
今回紹介したxSIRT及びCSIRTの概要をまとめると下記通りとなります。
CSIRTは全社セキュリティを担い、業務実態の把握が必要となるより専門性が高い業務を各xSIRTが受け持ちます。
CSIRTは全社セキュリティに対するレスポンシビリティを有し、各xSIRTは自組織が受け持つ役割に対するレスポンシビリティを有します。
また、最終的なアカウンタビリティはサイバーセキュリティ役員(CISOなど)が担うことになります。そのため、CSIRTは各xSIRTの活動を支援しつつ、全社的なセキュリティ推進のため各組織間のハブ・ファシリテータとして活動します。
まとめ
本記事ではデジタル化に伴う先進的な企業の取組として、PSRIT/FSIRT/SSIRTの三つのxSIRTを紹介しました。これらの組織はデジタル化における負の側面、いわゆるデジタルリスクに対応するための組織であり、今後、多くの企業で必要となる組織です。
一方で、これらxSIRTは企業のビジネスモデルや事業構造毎にあるべき姿が異なっており、目指すべき組織像として明確な姿が存在しない先進的な取組であることから、既にxSIRTを立ち上げている企業であっても、日々あるべき姿を模索しながら活動をしています。(PSIRTはFIRSTからFrameworkが公開される等、比較的目指すべき組織像が明確になっています)
弊社では、コンサルティングサービスの一つとして、これら組織体制の整備や改善を支援しています。もし今回の記事を読んで、これらの組織の構築や改善に興味をもたれた方がいましたら、弊社コンサルタントまでお声掛けください。
- NRIセキュアが提供する
- 「CSIRTの構築~運用~評価まで総合支援サービス」について詳しく見る
https://www.nri-secure.co.jp/service/consulting/csirt
