組織内CSIRT

インシデント管理ソリューション

近年サイバー攻撃は複雑化・高度化の一途を辿っており、もはや企業が単独ですべてのセキュリティ事故を未然に防ぐのは難しい状況です。セキュリティインシデントは初期対応を誤れば経営危機にも発展しかねないため、組織横断的にリスク評価や分析を行い、予算や人的資源を最適化する仕組みが求められています。このような背景から、今、多くの企業でセキュリティ対策の専門チームである組織内CSIRT (Computer Security Incident Response Team、シーサート)を構築する動きが盛んになっています。

CSIRTとは

組織内CSIRTは、企業内のセキュリティインシデントを専門に取り扱う機能・組織です。CSIRTは、コンスティチュエンシー(サービス提供対象者)に対してインシデント事前対応・事後対応サービスを提供したり、組織のセキュリティの品質を高める活動を行ったりします。これらのCSIRT活動全般を「インシデントマネジメント」と呼びます。

インシデントマネジメントには、セキュリティインシデントに発展しそうな事故や事象を可能な範囲で洗い出し、それぞれについて対応方針や対応手順のマニュアルを事前に用意する作業、システムやソフトウェアの脆弱性情報を収集・分析し攻撃予兆を把握する活動などが含まれます。中でも特に重要な活動はインシデント発生時における事後対応で、インシデントハンドリングの即戦力として、連絡窓口・トリアージ・インシデントレスポンス・報告や調整業務などの作業を担います。

(図1)インシデントマネジメントの説明図(NTT出版)

参考:日本シーサート協議会編著『CSIRT 構築から運用まで』

CSIRTにおけるインシデント対応の流れ

(図2)インシデント対応の流れ

参考:日本シーサート協議会編著『CSIRT 構築から運用まで』(NTT出版)

ステップ1 検知・受付:

CSIRTはインシデントの検知や報告を受け付ける窓口を用意します。UTMや監視ツールなどの様々なシステムや人からの情報を取りこぼしなく収集する仕組みが必要です。

ステップ2 トリアージ:

連絡を受けたインシデントに対応するべきかの判断と対応優先度の設定を行います。対応する基準や優先度の決め方は予め設定しておかなければなりません。

ステップ3 インシデントレスポンス(インシデント対応):

トリアージの段階で報告されたインシデントへの対応が必要と判断された場合、インシデントを解決するまで、状況の把握と分析、対応のための計画立案、実際の対応と抑制措置、関係者との情報と対応の調整作業のサイクルを繰り返します。通常、セキュリティ関連インシデントがひとつの組織内で完結することは難しく、提携先の外部SOC(Security Operation Center)やインシデント関係者など他組織との連携の下で、インシデントのクローズに向けて対応作業を行います。また対応計画の策定と実施の段階で、メディアや一般向けにプレスリリースを発表したり、自組織内部に対して注意を喚起する必要がある場合もあります。

ステップ1と2をどれだけ迅速に対応できるかで、インシデントレスポンスの質が飛躍的に変わります。

ServiceDesk Plus CSIRTモデル

組織内CSIRT向けインシデント管理ソリューション「ServiceDesk Plus CSIRTモデル」は、ゾーホージャパンが提供するITサービスマネジメントツール「ServiceDesk Plus」を情報基盤とした、組織内 CSIRTの事前対応型サービスと事後対応型サービスの一元管理を実現する包括的なソリューションです。セキュリティ脅威の防御からインシデント検知後のトリアージまでに発生する報告や分類といった、インシデント管理における非効率な手作業を減らすことで、迅速に解決すべきインシデントへの対応力を高めます。

(図3)ServiceDesk Plus CSIRTモデル

CSIRTモデルにおけるインシデント対応スキーム

事前対応

防御

 

  • Desktop Centralによる脆弱性 パッチ対策

  • WatchGuard FireBoxによる 多層防御

  • Dimensionによるインシデント 検知、レポート

  • Thread Detection & Response による脅威検知と自動防御

事後対応

防御

 

  • ServiceDesk Plusによる インシデント管理

  • 問い合わせの受付

  • アラート受信

  • 分類・優先度付け

  • Dimensionによるアラート情報の 保管

注意喚起・報告

 

  • ServiceDesk Plusによる 一斉アナウンス

  • 関係機関へのエスカレーション

防御

 

  • ServiceDesk PlusによるIT資産管理

  • Desktop Centralを用いたIT部門から のリモート対応

  • SOCによるインシデント詳細分析

  • 情報と対応の調整

  • ServiceDesk Plusからの情報発信

  • 対応計画の策定

  • ServiceDesk Plusに対応計画の記録

  • ServiceDesk Plusでのタスクの割り振り

  • 対応・抑制措置

  • ServiceDesk Plusに対応履歴の記録

  • IT部門によるポリシー変更

  • SOCによる事前・事後対応

 

クローズ

CSIRTモデル対応製品紹介

ManageEngine ServiceDesk Plus
(マネージエンジン サービスデスク プラス)

ManageEngine Desktop Central
(マネージエンジン デスクトップセントラル)

WatchGuard Firebox & Total Security Suite
(ウォッチガードファイアボックス、 トータルセキュリティスィート)

・セキュリティインシデント管理紹介ページ

インシデントの進捗管理に利用可能なIT サービスマネジメントツールです。

進捗の主な流れである、受付→トリアージ→ 対処策の検討・実行→インシデントのクローズをツール上で管理できます。

インシデントごとの優先度を素早く把握できる仕組みをCSIRTに提供し、深刻な脆弱性の公開などにより複数のインシデントに同時対応しなければならない場合の進捗管理を効率化します。

・製品紹介ページ

ランサムウェア対策の基本である脆弱性パッチ管理機能を中心とするクライアント管理ツールです。

ネットワーク内にあるWindows & Mac OSの他、Adobeなどのサードパーティー製アプリにも最新パッチを適用し、端末の脆弱性を狙う攻撃を防止します。

またリモートコントロール機能により、遠隔地にあるインシデント発生の可能性がある端末の状況確認などが容易になります。

・ウォッチガード・テクノロジー・ジャパン社Webサイト

統合型セキュリティアプライアンスと完全なセキュリティパッケージにより、ランサムウェアや標的型攻撃などのネットワーク上のあらゆる脅 威の検知、防御、相関分析によるセキュリティ対策を提供します。

Total Security Suiteは、不正侵入検知・防御、ゲートウェイアンチウイルス、アプリケーション制御、スパム対策、Web フィルタリング、クラウド型サンドボックスが含まれ、既存の脅威だけでなく、未知のマルウェアやランサムウェアの脅威、機密データの保護 を実現します。

また、このパッケージには、ネット ワークセキュリティの可視化・管理ツールや最新のエンドポイント(Host Sensor)と連携する Threat Detection & Responseが標準で含まれています。

※ WatchGuard Firebox、Total Security Suiteは、ウォッチガード・テクノロジー・ジャパン社が提供するアプライアンス及びサービスです。