データ侵害とは？

データ侵害は、データ流出またはデータ漏洩とも呼ばれます。

Techopediaによると、データ侵害とは、「個人、アプリ、サービスによるデータの不正な、あるいは違法な表示、アクセス、取得を伴うインシデント」です。¹ このタイプのセキュリティインシデントは、特に機密情報を盗むためのものであり、コンピューターやネットワークにアクセスして物理的に実行することも、ネットワークセキュリティーを経由してリモートで実行することもできます。

データ侵害は通常インターネットおよびネットワーク接続を介して、ハッカーなど無許可のユーザーが安全なデータベースやデータリポジトリーにアクセスした後に発生します。解決するには論理データやデジタルデータの追跡が必要です。

Symantec社によれば、データ侵害によって失われるデータは、氏名やクレジットカード番号など個人を特定できる情報が最も多く、個人の財務情報がその次に多くなっています。²

こうしたデータを取得した後、ハッカーは盗んだ情報の使用やネットワーク全体の管理者権限の取得など、個人情報の盗難やその他のサイバー犯罪を犯す可能性があります。

データ侵害は、データの損失だけでなく、ビジネスと顧客に損害を与えます。サイバーセキュリティを強化し、悪用可能な状態にある脆弱性を修復し更新するためのコストと、企業の評判および個人情報を盗まれた顧客への長期的な被害にまで及びます。

データ侵害のプロセス

サイバーセキュリティの多国籍企業であるTrend Micro社は、データ侵害とは4つのステップで構成され、そのプロセスには一般的なデータ侵害に対する次のアクションが含まれると述べています。

事前調査：ハッカーは、コンピューターまたはネットワークの脆弱性を徹底的に事前調査します。
攻撃： ハッカーは、ネットワークまたはソーシャル攻撃を駆使して継続的に攻撃を続けます。
- ネットワーク攻撃　では、インフラストラクチャー、システム、アプリケーションの弱点を突いて、ターゲットのコンピューターやネットワークに侵入します。
- ソーシャル攻撃　では、従業員を油断させてコンピューターまたはネットワークへのアクセスを許可するように仕向けます。ログイン資格情報を公開させたり、悪意のある添付ファイルを開かせることもあります。
データの入手：コンピューターに侵入すると、ハッカーはネットワークを攻撃したり、会社のデータを盗んだりする可能性があります。ネットワークが損傷した後、またはデータが抽出された後、データはハッカーの手に渡ったことになります。³

データ侵害が発生する理由

マルウェア対策ソフトウェアメーカーのMalwarebytes社は、「データ侵害はそれ自体で脅威や攻撃として存在するのではなく、ハッカーがコンピューターシステムやネットワークに不正にアクセスしてデータを盗むことを可能にする、サイバー攻撃の結果として生じるものです」と主張します。⁴ コンテンツのデジタル化が進み、クラウドの成長にともなって、データ侵害は発生し続けます。

対象となるデータ侵害は多くの場合、次の理由で発生します。

システムの脆弱性
弱いパスワード
SQLインジェクション
スパイウェア
フィッシング
ドライブ・バイ・ダウンロード
誤って構成されたアクセス制御

システムの脆弱性（エクスプロイト）

ハッカーは、ソフトウェアまたはシステムの体系的な脆弱性を悪用して、コンピューターまたはネットワークとそのデータへの不正アクセスを実行します。エクスプロイトは、オペレーティングシステムやインターネットブラウザーでも、さまざまなアプリでよく見られます。

これらの脆弱性は、システムのコード内に隠れており、ハッカーだけでなく、サイバーセキュリティの専門家によっても研究されています。たとえば、古いオペレーティングシステムには、ハッカーが簡単に悪用してコンピューターのデータにアクセスできる脆弱性が組み込まれている可能性が大いにあることが判っています。

一方で、サイバーセキュリティのベンダーはエクスプロイトを防ぐため、パッチの適用や変更によりデータ侵害を防ぎサイバーセキュリティを強化する方法を模索しています。

一部のサイバー犯罪者のグループは作業を簡単にするため、さまざまなエクスプロイトを自動化してパッケージとして活用しています。これにより、技術的な知識がほとんどない犯罪者でも攻撃が可能になっています。

弱いパスワード

人間やコンピューターが簡単に判別できるパスワードを意味します。例としては、ユーザーが覚えやすいユーザーの配偶者、子ども、ペットの名前や住所などが挙げられます。パスワードは大/小文字の区別をしない場合があります。また、一般的に大文字や記号を使用できない場合もあります。

ハッカーにとって弱いパスワードは、ブルートフォース攻撃（総当たり攻撃）やSpiderでユーザーのパスワードを簡単に推測し利用することができる標的となります。また、パスワードを紙に書き留めないこと、パスワードを入力するときに「ショルダーサーフィン」をしている人注意することを意識してください。

SQLインジェクション

SQLインジェクションでは、セキュリティで保護されていないWebサイトのSQLデータベース管理ソフトウェアの脆弱性が悪用されます。攻撃を実行するために、ハッカーは悪意のあるコードを脆弱なサイトやアプリケーションに埋め込み、バックエンドのデータベースにピボットします。

たとえば、ハッカーがコードを変更した通販のWebサイトで「ベストセラーのヘッドホン」を検索すると、ヘッドホンに関連する結果を表示するのではなく、ハッカーが顧客リストとそのクレジットカード情報を入手できるよう、個人情報の入力を求められます。

従来のサイバー攻撃であるSQL攻撃は、エクスプロイトで使用されるものと同様の自動化プログラムを使用して実行されることもあります。

スパイウェア

スパイウェアは、コンピューターまたはネットワークで感染したユーザーを「スパイ」し、ユーザー、コンピューター、およびアクセスしたWebサイトに関する情報を収集するマルウェアです。

無害に見えるものをダウンロード、インストールした後にスパイウェアに感染することが多いですが、中にスパイウェアがバンドルされていたというだけのことです。悪意のあるリンクをクリックするか、ウイルスによる二次感染としてスパイウェアを入手することもあります。

さらに、スパイウェアがEmotetなどのトロイの木馬を介した二次感染としてコンピューターに侵入することもあります。 Malwarebytes Labsのブログで報告されているように、Emotet、TrickBot、およびその他のバンキング型トロイの木馬は、スパイウェアやその他のマルウェアの配信ツールとして新しい役割を見いだしています。システムが感染すると、スパイウェアはすべての個人データをハッカーが実行するコマンド・アンド・コントロール（C＆C）サーバーに送り返します。

コンピューターがスパイウェアに感染し、ユーザーに関する情報を収集すると、C&Cサーバーや、ハッカーがアクセスする同様のリポジトリーなどのリモートの場所に転送されます。

フィッシング

フィッシングは通常、ソーシャルエンジニアリングを使用して、ターゲットの論理や推論に対する感情を操作し、機密情報を共有させます。多くの場合、同様に機能する電子メールのなりすまし攻撃をされた、または複製されたWebサイトの攻撃を使用して実行されます。

フィッシングやスパムの電子メール戦略を採用している攻撃者は、ユーザーをだまして次のことを実行させます。

ユーザーとパスワードの資格情報を明らかにする
悪意のある添付ファイルをダウンロードする
悪意のあるWebサイトにアクセスする

たとえば、利用しているクレジットカード会社からのように見えるメールを受け取り、口座への請求額を確認するように求められ、偽サイトへのリンクからログインするように求められるかもしれません。実際のユーザー名とパスワードを使用して偽のサイトにログインしようとすると、ハッカーはその情報でクレジットカードのアカウントにログインし、個人情報の盗難や同様のサイバー犯罪に使用できるようになります。

ドライブ・バイ・ダウンロード

ドライブ・バイ・ダウンロードは、ユーザーの許可なしにスパイウェア、アドウェア、マルウェア、および同様のソフトウェアをユーザーのコンピューターにインストールするサイバー攻撃です。これらにより、ハッカーはブラウザ、アプリケーション、オペレーティングシステムのエクスプロイトとセキュリティ上の脆弱性を利用できるようになります。

ユーザーをだますフィッシングやなりすまし攻撃とは異なり、ドライブ・バイ・ダウンロードは、ユーザーの許可なしにコンピューターやデバイスに侵入します。

誤って構成されたアクセス制御

Webサイトの管理者が注意を怠ると、アクセス制御によりプライベートにするはずのシステムの一部を一般の人がアクセスできるようになる可能性があります。これは、機密データを含む特定のバックエンドのフォルダーをプライベートに設定することを怠るのと同じくらい不注意なことかもしれません。

一般ユーザーは、アクセス制御が壊れているか、正しく構成されていないことに気付かない傾向があります。一方で、特定のGoogle検索を実行するハッカーは、これらのフォルダーを見つけてアクセスできます。この状況は、泥棒が鍵のかかったドアから家に侵入するのではなく、鍵のかかっていない窓から家に侵入することから想像できるでしょう。

ホワイトハッカーとデータ侵害

サイバー攻撃と同様に、データ侵害にはハッカーがコンピューターやネットワークへの不正アクセスを試み、個人情報を盗もうとすることが含まれます。ただし、この侵害が適切に行われるという場合もあります。

多くのサイバーセキュリティの研究者のようにホワイトハッカーは、コンピューターやネットワークに侵入してエクスプロイトや脆弱性を発見し、気づかせ、エクスプロイトを改善するソリューションで対策できるようにします。

たとえばベルギーのKUルーベン大学のハッカーチームは、2018年9月、リバースエンジニアリング作業を9か月行った後にモデルSのテスラの暗号化の解決法補について論文を発表しました。⁵ チームの作業は、テスラが車両用の新しいサイバーセキュリティテクノロジーを生み出すのに役立ち、発見したエクスプロイトを改善し、モデルSのキーフォブのクローンを作成するために使用しました。

データ侵害の検知方法

多くのサイバー攻撃とは異なり、データ侵害は検知が難しく、組織が侵害を発見するまでに発生から数日から数週間、場合によっては数か月かかることも珍しくありません。ハッカーが盗んだデータの利用や販売を有利に開始できるため、データ侵害の発生から発見まで時間がかかることは見過ごせません。最終的に検知され、脆弱性に対応する頃には、被害はすでに発生しています。

Koen Van Impe氏は、SecurityIntelligenceの記事の中で、データ侵害の兆候は2つあると述べています。

プリカーサー
インジケーター⁶

プリカーサー

プリカーサー（先行するもの）は、セキュリティのブログやベンダーのアドバイザリーなどの公開情報、および脅威分析やインテリジェンスソース、または脅威検知からの同様の情報に基づいて、差し迫った脅威を通知します。サイバーセキュリティの専門家は、予想されるサイバー攻撃に備え、脅威のレベルに応じてシステムのセキュリティとサイバーレジリエンスを調整するためにプリカーサーを使用します。インジケーターと比較すると、プリカーサーはほとんど発生しない傾向があります。

インジケーター

インジケーターは、データ侵害が発生した可能性、もしくは現在発生していることを通知します。セキュリティアラート、疑わしい行動、企業内外から送信されるレポートやアラートはすべて、インジケーターの例です。インジケーターは頻繁に大量に発生するため、インシデント対応プロセスの非効率性の原因となる要因の1つとなっています。

最適なインジケーターとは？

データ侵害または同様のサイバー攻撃の可能性がある場合に注意すべきいくつかのインジケーターは次のとおりです。

アイドル期間に発生するシステム、ディスク、またはネットワークのアクティビティーの増加
非アクティブなネットワークポートまたはアプリケーションでのアクティビティー
認識されないソフトウェアのインストール、およびシステム環境設定の不具合
ファイアウォールの変更、サービスの再構成、新しいスタートアッププログラムのインストール、スケジュールされたタスクなど、認識せず追跡不可能なシステム構成の変更
異常な動作を追跡するクラウドサービスの「最後のアクティビティー」に示される、異常な時間、異常な場所、または短期間の複数の場所からのログイン、およびその他の異常なユーザーアクティビティーなどのスパイク
予期しないユーザーアカウントのロックアウト、パスワードのリセット、またはグループメンバーシップのはく奪
頻繁なシステムおよびアプリケーションのクラッシュ
無効になったことの通知を含むマルウェアまたはウイルス対策保護からのアラート
インターネットでの頻繁なポップアップや予期しないリダイレクトの発生、新しいホームページや検索エンジンの設定などのブラウザ構成の変更
·あなたが送信していない、普通でないメールやソーシャルメディアからのダイレクトメッセージを受信したと連絡先からの報告
ランサムウェアなど、金銭を要求する攻撃者からのメッセージの受信

データ侵害の検知対応

プリカーサーとインジケーターに加え、システム侵入への検知対応を強化できる方法は次のようなものが挙げられます。

1. 変更なし、危険信号なし

コンピューターやネットワークに変更を加えないでください。侵入の疑いがあるシステムに変更を加えると、証拠が損傷または破壊され、状況がさらに悪化するリスクがあります。
インシデントの重要性とハッカーの意図、そして、事業上の目標と目標に対する侵害の影響は、トレードオフとなっています。

2. 証拠の収集

侵入と思われるものの証拠を収集し、データ損失のリスクがほとんどない場所に証拠が保存されていることを確認します。これにより、インシデント分析とインシデント後の意思決定、およびフォレンジックデータ収集に役立ちます。

ログファイル、ディスクとメモリーの情報、マルウェアのサンプル、実行中のプロセスリスト、ユーザーアクティビティーのリスト、アクティブなネットワーク接続はすべて、証拠として収集できるデータです。

変更なし、危険信号なしのルールを順守する際、この情報を収集している間はシステムに変更を加えないでください。そして、最初のルールと同様、アクションの長所または短所を比較検討する際には、状況、インシデントの重要性、およびその他の関連要因を考慮してください。

データ収集の後、リモート・フォレンジック・ツールの使用を検討し、IT運用チームまたはサイバーセキュリティチームと緊密に連携します。中央のログが手元にない場合は、ログが攻撃されたコンピューターやシステムとは別のコンピューターやシステムの読み取り専用の場所にコピーしておくことが重要です。

3. すべての記録

インシデント対応中に記録することで、豊富なデータを備えることができます。検証、相関、ピボットアクションなど、後で重要になる可能性もあるため、実行されたすべてのアクションを記録することが重要です。これにより、タイムラインを確立し、サポートが必要なシステム領域を決定することが可能となります。

4. 専門家チームとの連携

システムで発生しているすべてに対してある程度理解した後、専門家チームと連携し、結果を確認します。専門家チームとは、脅威インテリジェンスソース、業界情報共有および分析センター（ISAC）、および全国的なコンピューター・セキュリティー・インシデント対応チーム（CSIRT）が含まれます。この連携により、他の事象で対応を行ったこと、侵入を封じ込めるために実行すべき手順、および侵入によって引き起こされた損傷を元に戻す方法を確立することができます。

5. 内部レポートの作成

発生したインシデントを報告することに加えて、ビジネスに影響を与える可能性のある重大なインシデントを関係者に報告する必要があります。高レベルの分析で、次の事実を周知させる必要があります。

標的にされた攻撃か
以前に発生した攻撃か
他の企業が同様の攻撃を経験したか
これまでに発生した被害、将来的な被害の予想
攻撃の意図

6. レポートに関する周知

インジケーターには、社内の各組織からのレポートを含めることができます。これらの内部レポートは、異常な行動や状況の認識を高めるために不可欠な情報を提供します。レポート作成プロセスを合理化し、レポートに関する認識を社員に広めます。社内イントラネットに「インシデントの報告」ボタンを設定することを検討する必要があります。

社員がサイバーセキュリティチームまたはITサポートチームを認識していることを改めて確認し、質問や提案がある場合は、簡単に連絡できることが必要不可欠です。専門家が情報を収集するのを支援するため、ヘルプデスクでのQ&Aを作成することも重要です。

レポートによって透明性を高め、各社員が自分ごととして捉えるようにします。レポートを提出した個人をフォローし、彼らのレポートに対してインシデントに関する最新情報を明らかにすることで実現します。

このプロセスを組み込むことで、ITセキュリティ文化を育み、サイバーレジリエンシーとセキュリティを強化できるだけでなく、社員は自分が検知した異常を報告する可能性が高くなります。このプロセスと文化により、侵入が開始されたときに侵入を遮断することが可能です。

実行された緩和アクション、それらが効果的であったかどうか、および将来実行することが期待できる追加のアクションをレポートに含めるようにすると、適切な技術的詳細や、この攻撃がビジネスと社員に与える影響について明らかになります。

データ侵害の防御

インターネットやネットワークに接続しない、コンピューターを立ち上げないこと以外に、データ侵害を防御する完璧な解決策はありません。しかしこうした解決策は誰にも受け入れられるものではありません。

そこでデータ侵害のリスクを軽減するために、サイバーセキュリティとサイバーレジリエンスを強化するうえで実行可能な方法を次に示します。

強力なパスワードを使用すること
大文字と小文字、数字、記号のランダムな組み合わせを作成するパスワードジェネレータの使用を検討するなど、パスワード管理にも役立つパスワード追跡プログラムの使用を検討してください。
自分の財務情報を監視すること
銀行等の金融機関の口座のアクティビティーを定期的に確認し、可能であれば、異常なアクティビティーを通知するアクティビティー監視用アラートを使用してください。
自分のクレジットカードレポートを監視すること
誰かがあなたの個人情報を使用してクレジットカードや銀行口座を開設しようとすると、レポートにそれが表示されます。 Credit Karmaなど、さまざまなサイトでクレジットレポートを無料で提供しています。
迅速な対応をすること
異常なアクティビティーを見つけたら、すぐに各クレジットカード会社、銀行、金融機関に連絡してください。データ侵害の被害にあった場合は、必ずその事実を知らせることが重要です。
電話を安全に保つこと
使用している電話には、常に短い数字のパスワードまたはスワイプパスワードのいずれかを作成するか、指紋スキャナーがある場合は、それも活用しましょう。これらのセキュリティ機能を使用すると、電話の紛失や盗難が発生した場合に、携帯電話と保存されているすべての個人情報への不正アクセスに対する防御策が提供されます。
URLに注意すること
https://で始まる機密保護機能のあるURLのみを使用するようにしてください。機密保護機能のあるURLは「エラー：ハイパーリンク参照が無効です。」と表示されます。「s」はセキュアーのことで、HTTPリクエストはSecure Sockets Layer（SSL）を使用し、2者間の機密保護機能のある通信に使用されています。
最新のウイルス対策ソフトウェアをインストールすること
使用しているソフトウェアとネットワークの設定方法によっては、ファイアウォールが含まれている場合もあります。最新の信頼性が高いウイルス対策ソフトウェアを使用すると、サイバーセキュリティとサイバーレジリエンスが向上し、サイバー攻撃に対する耐性が向上します。
定期的に ファイルをバックアップすること
ファイルをバックアップし、安全な環境に保存するために定期的なスケジュールを決めておきます。これは、データの損失または破損が発生した場合の目標復旧時点（RPO）の作成に役立ちます。
古いハードドライブを初期化して破棄すること
古いシステムを廃止し、部品の分解を検討している場合は、新しいコンピューターにインストールする前に、必ずハードドライブを初期化しましょう。システムを削除するだけで、部品を再利用する予定がない場合は、最初にファイルをバックアップしたことを確認してください。破棄する際は、誰も使用できないようにハードドライブを物理的に破壊します。
重要な情報をオンラインで投稿しないこと
個人情報、機密情報、またはその他の非常に重要な情報を、ソーシャルメディアのアカウントを含め、オンラインで投稿しないでください。また、ソーシャルメディアのアカウントを「プライベート」に設定して、ご自身のアカウントのコンテンツを表示できるユーザーを制限することをお勧めします。
個人情報の盗難防止および信用監視サービスを利用すること
個人情報の盗難防止とクレジット監視サービスを利用すると、個人情報の盗難を防ぎ、発生した場合に通知することができます。
セキュア・ペイメント・サービスを使用すること
Paypalは、支払いのためにクレジットカード情報を提供する必要がなく、セキュア・ペイメント・サービスとして優れた一例です。機密情報を入力しなくても、アカウントを使用してセキュアペイメントを実行できます。

データ侵害の年：2018

企業や大規模な組織は膨大な量のデータを有しており、データ侵害を試みるハッカーにとっては非常に魅力的なターゲットとなってます。

Malwarebytes Labのブログ投稿2018年：データ侵害の津波の年 で著者のLogan Strain氏は、2017年には2018年よりも多くのデータ侵害が発生したことを指摘しています。ただし、2018年のデータ侵害は規模が大きく、被害者にFacebook、Under Armour、Quora、Panera Breadなどの大手のテクノロジー企業、小売業者、ホスピタリティープロバイダーが含まれています。⁷

企業や組織は大量のデータをもっているため、大量の個人情報を盗もうとするサイバー犯罪者にとって魅力的です。 Ponemon Instituteの「2018年データ侵害コスト」調査によると、データ侵害は平均で197日間発見されなかったものの、企業のデータ侵害の平均総コストは386万米ドルで、2017年に比べて6.4％増加しています。レコードの紛失または盗難における世界平均コストも4.8％増加し、レコードあたり平均約148米ドルになっていました。⁸

検知が難しいことで有名なデータ侵害では、失われるデータの量はさらに増加します。検知されないこともしばしばあり、検知されると損傷を元に戻して復旧するには69日追加でかかります。

Facebookのデータ侵害、露出、サイバー攻撃

Facebookは、データ侵害と露出、およびサイバー攻撃を何度か経験したと2018年と2019年に公表しています。データ露出ではパスワードなしでオンライン公開され、保存されたデータが含まれていました。これらは、必ずしもデータ侵害やサイバー攻撃などの悪意を伴うものではなく、人為的なエラーに結び付いて、セキュリティ上の問題から発生することもあります。

データ侵害の始まり

発生時期　2017年7月から2018年9月末

発見時期　2018年9月25日

公表時期　2018年9月28日

被害対象

氏名
電話番号
メールアドレス
その他の個人情報

被害規模　Facebookは当初、約5,000万のプロファイル情報が公開されたと発表しましたが、後に3,000万、その後1,400万のユーザーがユーザー名およびFacebookの検索履歴にアクセスされたと修正されました。

発生経緯　Facebookの「表示」機能のコードにあった欠陥を利用して、ハッカーはFacebookのアクセストークンを盗み、そのトークンを使用してユーザーのアカウントにアクセスし、アカウントを制御できるようになる可能性がありました。

拡大被害　Cambridge Analytica社は、これらのデータを使用し、2016年の米国大統領選挙で浮動票投票者の識別に役立てました。⁹

Instagramに対するリスト攻撃

発生時期　不明

発見時期　2019年3月から4月

公表時期　2019年4月8日

被害対象

以下を含むInstagramのログイン情報：
- ユーザー名とパスワード
- メールアドレス
- 電話番号

発生経緯　Redditで最初に報告されたものは、侵害されたInstagramアカウントは、彼らがフォローしているアカウントに悪意のあるリンクを含むメッセージを送り、「Nastyリスト」に含まれていると告げて注目させます。この悪意のあるリンクはフィッシング攻撃で、ユーザーを、偽のInstagramページに誘導し、ログインを促します。

被害規模　不明¹⁰

Instagramのパスワード・プレーンテキスト・ファイルのデータ露出

発生時期　不明

発見時期　2019年3月から4月

公表時期　2019年4月8日

被害対象　 Instagramの何百万ものパスワード

発生経緯　 Instagramに対する「Nasty リスト」攻撃に続いて、Facebookは潜在するパスワードセキュリティ問題を確認し、何百万ものInstagramアカウントのパスワードがプレーン・テキスト・ファイルに保存されていることに注目しました。 Facebookは、「調査の結果、これらの保存されたパスワードは内部で悪用されたり、不適切にアクセスされたりしていないことが判明しました」と述べていますが ¹¹、プレーン・テキスト・ファイルに情報が含まれているユーザーはパスワードのリセットを推奨されました。

Facebookの安全でないデータベースのデータ露出

発生時期　不明

発見時期　不明

公表時期　2019年9月4日

被害対象

複数の地域にわたるデータベースにある、以下を含んだ4億1,900万のユーザーアカウントにリンクされた電話番号
- 米国を拠点とするFacebookユーザー1億3,300万件の記録
- 英国のユーザー1800万件の記録
- ベトナムのユーザー5,000万件以上の記録
各アカウントのユーザー名、性別、国の場所に関する情報

発生経緯　いくつかの国の安全でないデータベースに、FacebookアカウントID、電話番号、および追加のユーザー情報が含まれていました。¹²

データ侵害に対する専門組織「CSIRT」

有事の際の専門組織として編成されるのが「CSIRT（シーサート）」です。CSIRTの存在は多くの企業に必要とされているものだといえますが、具体的にはどのような組織なのでしょうか。

CSIRTの概要から企業が必要とする理由、構築のポイントとあわせてSOC（Security Operation Center）との違いについて解説します。

CSIRT（シーサート）とは？

CSIRT（Computer Security Incident Response Team）とは、セキュリティ事故などのインシデントが発生した際に、調査や対応活動を行う組織です。企業内では定常的に組織される場合や、有事の際に特別に編成される場合もあります。

CSIRTはインシデントが発生した際に窓口として報告を受け取り、関連部署・組織と連携してインシデント対応を行います。インシデントの解消を目的として活動し、システム再稼働後は原因の追求と今後の対策まで対応する場合が多いでしょう。

セキュリティ事故が発生した際の対応は迅速に行う必要があります。CSIRTは事故発生後の対応をスムーズに行い、早期に解決するための組織です。

企業にCSIRTが必要となる理由

「セキュリティ対策を実施している」という企業は多いと思いますが、「セキュリティが万全だ」という企業は実は少ないのではないでしょうか。その理由として、インターネット活用の拡大とともに年々巧妙化するサイバー攻撃の存在が挙げられます。

例えば、標的型攻撃メールは従来のスパムメールとは異なり、実際の取引先や社内の人間、友人、知人などを騙り、フィッシングサイトへの誘導やマルウェアへの感染を誘発する攻撃を行います。一見すると通常のメールに見え、しっかりと確認しなければ見分けることが難しいものです。

このようにサイバー攻撃は巧妙化しており、セキュリティ事故が発生したあとも気づきにくくなっていることから被害を完全に防ぐことは難しいといえるでしょう。セキュリティ事故を早期に発見して対応するためにCSIRTが必要とされています。

CSIRTとSOCの違い

CSIRTと似たような組織としてSOC（Security Operation Center）が挙げられます。

SOCは24時間365日体制でシステムやネットワークなどを監視し、サイバー攻撃の検出や分析を行う組織です。SOCがセキュリティ事故の事前検知や対策に重点がおかれているのに対して、CSIRTは事後の対応が中心となることが両者の違いです。

セキュリティ事故の対応はよく消防に例えられます。「防火活動」に重点を置いた組織がSOCであり、「消火活動」に重点を置いた組織がCSIRTといえるでしょう。

SOCとCSIRTはどちらか片方だけでは不十分です。事前対応とあわせて、事後対応の体制を整えておくことで万全のセキュリティ対策が実現できます。

CSIRT構築のポイント

社内でCSIRTを設置する場合には、次のようなポイントをおさえるとよいでしょう。

社風に合わせて構築する
全社的に取り組む
外部組織とも連携する

CSIRTを設置する際には単に部署や担当者を決めるだけではうまくいきません。部署を超えたチームの枠組みを作ることが重要であり、CSIRTが社内で認められるような活動を行う必要があります。

外部へアウトソーシングする場合も、インシデント対応には社内連携が重要になるため、専門部署だけで完結させずに全社的に取り組まなければなりません。経営層も含めてCSIRTの活動を理解してもらい、各従業員にもセキュリティ教育を実施して企業一丸となってセキュリティ事故に対応する意識を持つことが重要です。

加えて、社内の関係者だけでなく外部の関係者とも情報共有を行える環境を構築しましょう。社内だけで解決することが難しい場合には、外部のCSIRTとも協力する必要があり、スムーズなインシデント対応のために情報の共有や協力体制の構築することが重要だといえます。

セキュリティ事故などのインシデントが発生した際に調査、対応活動を行う組織であるCSIRTは、多くの企業に必要とされています。年々巧妙化するサイバー攻撃に対応するために、今後はよりその重要性が増すでしょう。

CSIRTと似た組織としてSOCが挙げられますが、SOCが事前対応に重点を置いた組織であるのに対して、CSIRTは事後対応に重点を置いた組織という違いがあります。CSIRTやSOCを自社内で組織することが難しい場合には、情報セキュリティシステムの管理を社外の専門企業が請け負う「サービスマネージドセキュリティサービス（MSS）」の利用も検討するとよいでしょう。

自社の情報セキュリティを高めるために、これらの組織の編成やサービスの利用をおすすめします。