基礎から分かる「CSIRT」、インシデントの“事後対応”に不可欠な理由とは？

　サイバー攻撃が進化し、標的型攻撃やランサムウェア攻撃などの手口が巧妙化する中、ツールによる防御や従業員への教育といった、“未然防止”を目的とした従来の対策では、被害を防ぎきれなくなっている。この状況を打開するには、“事後対応”までを視野に入れ、インシデントの迅速な検知と被害の最小化、再発防止策の検討を実現できる体制を作ることが不可欠になる。

　そこで企業規模にかかわらず多くの企業で検討すべきなのが、CSIRT（Computer Security Incident Response Team）の立ち上げだ。その役割は、ITセキュリティ情報や脆弱性対策情報の収集／周知をはじめとした「事前対応」と、インシデント発生時に発見から対策までを迅速に行い、被害を最小化する「事後対応」に分けられる。これらを一貫して行うことで、情報の管理／共有を迅速化できる他、組織内外と連携する窓口としての役割も期待できる。

　ただしCSIRTの立ち上げや運営には、人的リソースやスキル、コストなどが必要なため、外部サポートの利用も検討したいところだ。本資料では、CSIRTの基礎知識や、立ち上げ／運営のポイントについて詳しく解説しているので、参考にしてほしい。