現場が機能するCSIRT -多くの企業支援から編み出された短期間で構築するノウハウ-(itSMF Japanコンファレンス 講演レポート)

ServiceDesk Plus, ServiceDesk Plus Cloud, イベント情報, セキュリティ, 一般 | December 26, 2018 | 1 min read

Reading Time: 1 minutes

ここ数週間で一気に寒くなってまいりましたね…!愛犬に寄り添うのが心地のいい季節になりました。

そんな手先が冷える気温にとうとうなりつつある2018年11月30日、特定非営利活動法人itSMF Japanによる「第15回 itSMF Japanコンファレンス /EXPO」が東京で開催されました。

itSMFについて
情報システムの運営管理における教科書とも言える「ITIL® (IT Infrastructure Library)*」を国内に普及させることを目的とした会員制ユーザー・フォーラムです。月に一回の定期セミナーや年一回のコンファレンスを開催し、ITサービス管理の現場に有益な情報を発信しています。
itSMF Japanオフィシャルサイト

*ITIL® is a Registered Trade Mark of AXELOS Limited.

さて、この度の第15回カンファレンスでは、多くの企業に対しCSIRT導入の支援をしてきたニュートン・コンサルティング社と共同講演をさせていただきました。
そして、実際にCSIRTを導入/運用するにあたり、ツールを利用する場合の一例として弊社が提供するITサービス管理ツール(ManageEngine ServiceDesk Plus)ご紹介致しました。

下記にて、当日の様子をご案内致します。

目次

CSIRTについて

CSIRTとは
コンピューター、セキュリティインシデントへ迅速に対応するために予め構成された対応チームまたは機能のことです。

最近のセキュリティ動向として、「いかに早く異常を検知し、対応できるか」そして「いかに被害の拡大を食い止めるか」が重要と言われています。

インシデントが発生したとき、CSIRTがない企業の場合は、まず対応チームの構成から始まります。一方、CSIRTを構築済みの企業はいち早く対応を開始できるため、被害の最小化が可能となります。

<ニュートン・コンサルティング社 講演資料抜粋>

なお、CSIRTに関する外部コミュニティは多数あります(例: 金融ISAC、ICT-ISACなど)。CSIRTを構築し、このようなコミュニティに参加することで、外部のCSIRTと情報交換ができるようになります。これによって、例えば他社に対して行われたサイバー攻撃の情報をいち早く収集し、事前の警戒/準備を行ったり、他社の良好事例を参考に自社CSIRTを改善したりできます。

*詳細については、日本CSIRT協議会のサイトもご参照ください。

講演内容について

CSIRT構築の際の検討ポイント
講演内で、ニュートン・コンサルティング社は以下を考慮しながらCSIRT構築検討のお手伝いをしていると説明されていました。

実際のCSIRT構築にご関心のある方は、ぜひニュートン・コンサルティング社のCSIRT構築支援サービスをご参照ください。

  • チームの名称をどうするか
    名称によってある程度の方向性が決まるそうです。
    ・CSIRT(コンピューターセキュリティインシデントに対応)
    ・SIRT(紙の情報なども含む情報セキュリティ全般に対応)
    ・CIRT(企業にもよるがCをCyberと捉え、サイバー攻撃に対応。内部不正は除外)
  • CISO、広報、経営企画、営業、法務…どこまでCSIRTのチームに含めるか
    コミュニケーションが蜜な会社で速やかに全社対応にシフトできる組織なら、あえてCSIRTに広報、法務を含める必要がない場合もあるそうです。
  • 内部不正、サイバー攻撃以外で対応するものはあるか(それを検知する方法は導入されているか)
  • 外部公表基準はどうするか
  • 時間帯によってルール・基準は変わるか …など

また、組織内でCSIRTを成長させていくためにも、以下によって「育成」を視野に入れることが重要とのことです。

  • サイバー対応能力の見える化
  • サイバー攻撃への対応演習
  • ブレない評価指標の導入
  • あるべき姿(数年後の到達点)に関する合意
  • あるべき姿に到達するためのロードマップ作成

講演のまとめ3ポイント

今回の講演レポートは、あくまでも筆者が会場で聴講した内容を非常に抜粋的にまとめております。実際のニュートン・コンサルティング社の講演は、より具体的かつ専門的な視点から詳細の説明がされていますので、本格的にCSIRT構築を目指される企業様は同社の支援サービスや研修メニューのご利用をご検討ください。

さて、講演の最後では、まとめとして次の3ポイントが紹介されていました。

  1. 検知からインシデント対応開始までの流れが被害軽減のポイント。
    必要なメンバーにいち早く情報を共有し、責任者を明確にすることが重要。
  2. 情報資産がまとめられていることが重要。
    システムが何で構成されているか、ベンダーはどこかなどをまとめておくことが対処速度を向上させる。
  3. 対処した実績は財産。
    ナレッジとしてしっかりと蓄積することが組織を強くする。

ツールを用いて3ポイントの運用を行った場合

弊社の講演パートでは、先述の3ポイントについての運用をツールで実施した場合の実演デモを行いました。あくまでも一例ですが、弊社が提供するITサービス管理ツール(ManageEngine ServiceDesk Plus)の機能と対応させた場合、下記のようになります。

  1. 必要なメンバーにいち早く情報を共有し、責任者を明確にする
    -> インシデント管理機能
  2. システムが何で構成されているか、ベンダーはどこかなどをまとめておく
    -> IT資産管理/CMDB機能
  3. ナレッジとしてしっかりと蓄積する
    -> ナレッジ管理機能

<3ポイントに対応する機能(ゾーホージャパン講演資料抜粋)>

実演デモでは、SIEMからアラートメールが通知されたことを起点とし、「インシデントチケットをServiceDesk Plus内に自動で取り込む様子」や「資産情報/CMDBの確認方法」「ナレッジの登録方法」をご紹介しました。全体的な動作の流れについては、下図のフローチャートもご参照ください。

<対応イメージのフローチャート (ゾーホージャパン講演資料抜粋)>

デモの詳細については、また別の機会にでもご紹介できればと思います。
関連するServiceDesk Plusの各機能については、以下をご参照ください。

いかがでしたでしょうか。
第15回カンファレンスは終了してしまいましたが、以後もitSMF Japanによる定期セミナーが開催されるかと思います。一般の方も参加費11,000円~で聴講できますので、気になるトピックがあればぜひご参加をご検討されてみてはいかがでしょうか。

▼▼ゾーホージャパン ManageEngineでのITSM製品▼▼

 


ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。