CSIRT:構築から運用まで

URL

この本を読んで得たかったこと

自社内でCSIRTを立ち上げるにあたり、構築の手順や運用上の注意点などを把握したかった。

参考になった箇所

●CSIRTの主な役割と業務(P21)

・連絡窓口

・インシデント対応

・情報収集

・脆弱性分析

・フォレンジック

●CSIRT構築における順序(P31)

・経営層によるCSIRTの任命

・CSIRTの目的

cf)[CSIRTマテリアル 構築フェーズ](https://www.jpcert.or.jp/csirt_material/build_phase.html) By JPCERT/CC

・CSIRTの業務範囲

└守るべき対象を定義する

・CSIRTが担う役務

・CSIRTに付与する権限

・CSIRTに期待される役割

・CSIRTが対象とするインシデント

・自組織におけるCSIRTの位置付け、メンバー構成

●CSIRTにおけるcapabilityとcapacity(P120)

capability = 機能/性能

capacity = (潜在的な)能力/可能性

最近のCSIRTにおいては前者の方が重視されているが、後者についても重要である。

capabilityでcapacityを大きく超えたものを定義しても結局できない。

全てを完璧にするのではなくできることから始めるべきである。

●NIST Cyber Security Framework(P150)

cf)[NIST CSF日本語訳](https://www.ipa.go.jp/files/000071204.pdf) By IPA

P59の表をチェックリストにし、自社のサイバーセキュリティ対策を俯瞰的にみることが可能。

役立てること

弊社にはCSIRT自体が時期尚早なのかもしれないと考えながら読み進めていたが、CSIRTの活動として構築を進める、と定義してもよいのではないのかと考えた。

最初から理想系の状態で始めることなどできないが、理想に近づけるということは大事なことだ。

なので下記のような手順でCSIRTの立ち上げを進めようと思う。

・CSIRTの目的の定義

・CSIRTの業務範囲

→自社内のインフラ

・NIST Cyber Security Frameworkを活用し、自社のインフラ環境を評価する

・前述要素を用い、CSIRTが行うべき初期の活動を定義する