「セキュリティーブログ」の第２回はCSIRTとSOCについてお話したいと思います。

情報セキュリティー対策はいろいろな切り口から説明されますが、組織の機能に注目すると、CSIRT（Computer Security Incident Response Team）とSOC（Security Operation Center）の２つで説明されることが一般的になっています。CSIRTとSOCの組織・体制、人員の規模、負っている責任、権限は会社や組織ごとに様々ですが、以下のお話はおおむね当てはまると思います。

CSIRTは情報セキュリティーの3要素に照らして、ビジネスの要件に合わせてセキュリティーポリシーを立案します。WEBサイトを運営するのか、お客様の個人データを持つのか、社内の情報管理規定に沿った対策はどうすべきかなど多様な要件があるでしょう。要件からリスクを洗い出し、必要な情報セキュリティー対策を企画・立案し、構築・運用します。

ビジネスが直面するリスクはビジネスの変化や技術の変化に伴って変わっていくため、セキュリティーポリシーは定期的に見直す必要があり、対策も変わっていくことになります。

セキュリティーインシデントが発生した場合、CSIRTは司令塔として、影響を最小限にとどめる処置をする、会社の意思決定を支援する、ダメージを最小限にして業務の継続を図るなどの重責を担います。CSIRTを中心にインシデント発生時の体制を事前に想定しておくことで、迅速な対応が可能になります。

SOCは対策の運用とインシデントの監視を担当します。エンドポイント、ネットワーク、システムにはそれぞれ必要な対策が施されており、これらが出力する情報は膨大な量になります。この情報を一元管理するために、SOCはSIEM (Security Information and Event Management) と呼ばれるセキュリティー管理システムを使用することがあります。どの情報を収集するかは、セキュリティーポリシーに応じて決まります。例えばパソコンのマルウェア対策を監視する場合、パソコンで稼働するEDR（Endpoint Detection and Response）の情報を監視します。インターネットからのサイバー攻撃を監視するならファイアウォールの状態を監視します。

SIEMは集約した情報の中から、危険性をはらんだものをアラートとして出力します。SOCメンバーはそのアラートに基づき、インシデントか否かを判断します。この判断にはメンバーの専門性と経験、過去の知見が必要です。

インシデントと判断した場合、同時にその危険度を判定し、CSIRTに連絡します。インシデントはいつ起きるか分からないため、24時間365日対応できる体制が必要になる場合もあります。

連絡を受けたCSIRTはインシデント対策を開始します。その際に状況分析や調査などをSOCが分担し、CSIRTをサポートする場合もあります。緊急対策としてファイアウォールなどのセキュリティー機器の設定をSOCが操作するケースもあります。

どのような企業がCSIRTを立ち上げているのか、CSIRTを立ち上げるためのノウハウを知りたいなどと考えているなら、一般社団法人日本シーサート協議会のサイト (https://www.nca.gr.jp/)が有益です。また、一般社団法人 JPCERT コーディネーションセンターが出している「CSIRTガイド」 も参考になるでしょう。