はじめに
CSIRT(Computer Security Incident Response Team)と聞くと、専門チームを編成して24時間体制で監視する、というイメージがあるかもしれません。しかし中小企業には専任チームを置く余裕はありません。
本記事では、最小3名の体制で始められる、中小企業向けCSIRTの構築方法を解説します。
CSIRTとは
CSIRTは、セキュリティインシデントに対応するための組織内チームです。インシデントの検知、分析、対応、復旧、そして再発防止までを担当します。
大企業のCSIRTは5〜10名の専任チームで構成されることが多いですが、中小企業では「専任」である必要はありません。既存の業務と兼務する形で「役割」を定義すれば十分です。
最小構成(3名)
責任者(経営層または管理職)
インシデント発生時の意思決定を行います。「システムを全停止するか」「取引先に通知するか」「個人情報保護委員会に報告するか」といった経営判断は、技術者ではなく経営層が行う必要があります。
兼務のため、セキュリティの専門知識は不要です。ただし、インシデントの種類と影響度を理解し、適切な判断ができるよう、年1回の研修を受けることを推奨します。
技術担当(IT担当者・情シス)
インシデントの技術的な分析と対応を行います。感染端末の隔離、ログの分析、マルウェアの除去、システムの復旧等が主な役割です。
社内にIT担当者がいない場合は、情シスアウトソーシングサービスや外部のセキュリティ会社に「インシデント発生時の技術支援」を契約しておくことで代替できます。
連絡担当(総務・管理部門)
社内外の関係者への連絡調整を行います。社員への通知、取引先への報告、外部機関(IPA、警察等)への連絡、メディア対応(必要な場合)等を担当します。
技術担当がインシデント対応に集中できるよう、連絡業務を分離することが重要です。
CSIRTが行うべき4つの活動
1. インシデント対応手順の整備
インシデント対応マニュアルを策定し、定期的に更新します。マニュアルの内容は、インシデントの定義・分類、連絡体制、初動対応手順、復旧手順、事後対応手順です。
2. 外部連絡先の確保
インシデント発生時に相談できる外部専門家の連絡先を事前に確保しておきます。
- IPA:情報セキュリティ安心相談窓口(無料)
- JPCERT/CC:インシデント報告窓口(無料)
- 情シスアウトソーシング会社:技術支援
- フォレンジック会社:証拠保全・分析(サイバー保険で費用がカバーされる場合あり)
- 顧問弁護士:法的助言
- サイバー保険会社:保険金請求
「発生してから探す」のでは遅いため、事前に連絡先リストを作成し、可能であれば事前に挨拶・契約しておきましょう。
3. 年1回のインシデント対応訓練
机上訓練(テーブルトップエクササイズ)で十分です。シナリオを用意し、「この場合、誰が何をするか」を全員で確認します。
訓練シナリオの例は以下の通りです。
- 「社員のPCがランサムウェアに感染した」
- 「退職者のアカウントで不正ログインが検知された」
- 「取引先から『御社からの不審なメールが届いた』と連絡があった」
4. 情報収集
最新のセキュリティ脅威情報を収集し、自社に影響がないかを確認します。IPAの「重要なセキュリティ情報」やJPCERT/CCの注意喚起を定期的にチェックしましょう。
週に1回、10分程度で確認できます。特に自社が利用している製品(M365、GWS、FortiGate等)の脆弱性情報には注意が必要です。
サイバー保険の検討
中小企業でも加入できるサイバー保険が増えています。保険料は年間10〜50万円程度で、インシデント発生時のフォレンジック費用、法的費用、取引先への損害賠償等がカバーされます。
CSIRT体制の構築と合わせて、サイバー保険への加入も検討しましょう。インシデント発生時の経済的なダメージを軽減できます。
まとめ
中小企業のCSIRTは「大げさな組織」である必要はありません。最小3名で「誰が何をするか」を決めておくだけで、インシデント発生時の対応速度と品質が大きく変わります。
まずはインシデント対応手順の整備と外部連絡先の確保から始め、年1回の訓練を組み込みましょう。
筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com