CSIRT立ち上げのススメ

今日は CSIRT を立ち上げようとお考えの組織に、立ち上げのマテリアルをご紹介します。

まず、一番最初に参考とすべきはこちら。
JPCERTCC CSIRTマテリアル

JPCERTコーディネーションセンター(JPCERT/CC)は、特定の政府機関や企業からは独立した中立の組織として、日本における情報セキュリティ対策活動の向上に積極的に取り組んでいます。
「構想」、「構築」、「運用」と3つのフェーズに分けて、それぞれのフェーズで充実した資料を揃えています。

次いで、参照すべきはこちら。
日本シーサート協議会
こちらでは「スタータキット」、「CSIRT人材の定義と確保」等が公開されています。

なお、これらを参考にCSIRTを立ち上げようとした場合、各種の「技術的対策」が必要になります。

CSIRTは Incident Response (インシデント対応)をおこなう Team です。
「インシデント対応」には、まずはインシデントを「検知」する技術的対策が必要になります。

さらに、検知したインシデント(もしくはその予兆)に対して、何が起きたのかを「分析」しなければなりません。
そのための、ログの取得・管理・解析の仕組みやフォレンジック(証拠保全と解析)の技術的対策が必要となります。

CSIRT の立ち上げによって、「何が検知できないか」、「何を把握・解析できないのか」が明確になり、情報セキュリティ対策も一気に進みます。
ある程度、情報セキュリティ対策が進められた企業様には、是非 CSIRT を立ち上げられることをお勧め致します。