CSIRT 構築から運用まで

2017年8月13日読了。サイバーセキュリティに対応する機関の公式名称である「CSIRT」、このチームをいかに構築し実際の運用に乗せるか、を解説する本。シーサート協議会作とあり、ユーモアのかけらも見えない生真面目な教科書だが、サイバーセキュリティについてある程度知識や問題意識がある人が読めば全体を整理して理解しやすく感じた。NISTやCMMI、ISOなど基準・標準はたくさんあるが、重要なのは「平常時・緊急時に『実際に回る仕組み』を作ること」であり、標準のチェック項目をすべて満たすことではない。「どうしたらうちの組織に最適なCSIRTができるか」を考えねばならず、それはどの書物を読んでも答えが書いてあるものではなく、どのコンサルより現場が一番よく知っているはずのことなんだよなあ…。

http://www.nttpub.co.jp/search/books/detail/100002401 ■概要 キャッチ サイバーセキュリティ実務者の必読書 ウィルス感染や不正アクセス、不正侵入、データ改ざん、情報漏えいなど、各企業・自治体ではコンピュータやネットワークのセキュリティを脅かす事象への対応が急務となっています。本書はインシデントに対応する専門チーム=CSIRT(Computer Security Incident Response Team)の構築と運用の全ノウハウをまとめた「初」の〈実践的ガイドブック〉です。 ■ToC 第1章　基礎知識 　1. サイバー攻撃とCSIRT 　　　インシデント増加の背景/攻撃者の特徴を知る/進化する攻撃手法 　　　と事後対応の必要性/経営上の課題 　2. CSIRTを正しく理解するために 　　　CSIRTの誕生と歴史/CSIRTのコンセプト/CSIRTの業務 第2章　構築と運用 　1. 組織 　　　構築/運用 　2. 人材の定義と育成 　　　CSIRT要員の役割/役割間関連図と連携フロー/自組織で 　　　備えるべき役割とアウトソース可能な役割/役割を担う人材の 　　　定義と育成 　3. プロセス 　　　設計/運用改善 　4. 設備やシステム 　　　CSIRT活動に役立つシステム/事業継続性を考慮した設備/機密 　　　性を考慮した設備/インシデント対応時に活用できる設備 　5. 対外連携 　　　セキュリティインシデント発生時の報告窓口/脆弱性情報を発見 　　　した際の報告先/セキュリティインシデント情報共有/フィッシング 　　　サイトに関する相談/他組織CSIRTとの情報連携 第3章　応用知識 　1. CSIRTの分類 　　　現実世界との対比/CSIRTの実装モデル/グループの実装モデル 　2. CSIRTが使うツール 　　　CSIRT活動に欠かせない情報/資産情報を管理するためのツール 　　　/公開情報/メンバーとして参加することで得られる情報/安全な 　　　電子メ‐ルシステム/インシデントトラッキングシステム/インシデント 　　　解析ツ‐ルセット/通常の開発にも多く用いられるインシデント解析 　　　ツール類 　3. CSIRTのケーススタディ 　　　脆弱性情報入手後の対応例/ランサムウェア被害報告を受けた後 　　　の対応例/不正な外部通信をリサーチャーが検知した後の対応例 　4. CSIRT評価モデル 　　　CSIRT評価モデルの課題意識と目的/一般的な評価モデル/代表 　　　的なCSIRT評価モデル 出典/別添資料

自分も今セキュリティ対策をミッションの１つとしているので 組織におけるセキュリティ対策の体制をどのように構築すればよいか どのような人材、運用が必要か 端的にまとまっていて、セキュリティ対策部門に就いた人が最初に読むのに良い本だと感じた。 一方で、実際に自分の組織でどこまで対応するかの線引はなかなか難しいとも感じた。