CSIRT Services Frameworkの紹介

NECセキュリティブログ

2020年8月14日

こんにちは、セキュリティ技術センターの羽角です。本記事ではセキュリティオペレーションに携わる方々や、セキュリティチームの検討をされている方々を対象として、CSIRT Services Frameworkの内容をご紹介します。

1. CSIRT Services Frameworkとは

本記事でご紹介するComputer Security Incident Response Team (CSIRT) Service Framework new window[1]とは、FIRST (The Forum of Incident Response and Security Teams) コミュニティに所属する専門家らが、Task Force CSIRT (TF-CSIRT) およびInternational Telecommunications Union (ITU) からのサポートを得て開発している、CSIRTやそれに類するインシデントマネジメントサービスを提供するチームに関連するサイバーセキュリティサービスや、サービスに付随する関連機能を記述した資料です。ここでCSIRTとは、コンピュータセキュリティインシデントを防止、検知、ハンドリング、対応する能力を持つ組織部門のことを指します(時には専用の部門を持たない仮想チームの場合もあります)。
CSIRTに関する文章としては、NISTが提供するハンドブック new window[2]や、JPCERT/CCが提供する資料 PDF[3]など、チームを構築するうえで参考にすべき資料がありました。しかしながら具体的にどのようなサービスや機能を提供すべきなのか、という点についてはそれぞれの組織・企業の規模や、ミッションの違いにより異なることから「CSIRTを立ち上げる上で提供すべきサービス」を体系化して議論するのが難しいという状況が続いていました。一方CSIRT Services Frameworkでは、FIRSTに参加するナショナルCSIRTや一般企業のCSIRTからのフィードバックを経てCSIRTが提供する可能性のあるサービスを網羅しており、近年注目を集めています。

1.1. CSIRT Services Framework v2.1

CSIRT Services Framework v2.1は2020年3月に発行された、本稿執筆時点で最新の CSIRT Services Frameworkです。v2.0と比較して本文の構成が変更されており、さらに分かりやすくなりました。本記事ではこのv2.1について紹介を行います。

1.2. フレームワークの構成

CSIRT Services Frameworkでは、CSIRTのサービスは以下の4つのコンポーネントの関係性で表されます。

  • サービスエリア
  • サービス
  • 機能
  • サブ機能

CSIRT Services Frameworkでは最上位のコンポーネントとしてサービスエリアが存在し、サービスエリアの構成要素としてサービスが定義されています。機能とサブ機能はサービスを提供する上で必要なさらに細かい要素を定義するものです。図1にコンポーネント間の関係性を示します。

図1 CSIRT Services Frameworkにおけるコンポーネント間の関係性

図1に示したように、CSIRT Services Frameworkにおけるコンポーネント間の関係性は明確ですので、あるサービスを提供したい場合にそのサービスを構成する機能を考えることで、人材の配置や運用・求められるスキルセット等を整理しやすくなっています。
なお本記事ではサービスエリアとサービスに焦点を当てて説明を行いますので、サービスを構成する機能とサブ機能については省略をさせていただきます。どのような機能が定義されているのか気になる方は、ぜひオリジナルの文章 new window[1]をご覧ください。

1.3. 定義済みのサービスエリア

CSIRT Services Framework v2.1では、5つのサービスエリアが定義されています。図2に定義済みのサービスエリアと、それぞれのサービスエリアに含まれるサービスを示します。

zoom拡大する
図2 CSIRT Services Framework v2.1におけるサービスエリア
(原本 new window[1]を参考に筆者作成)

図2は、本フレームワークにおいてCSIRTが提供する可能性のある全てのサービスエリアとサービスを表しています。ここで重要なのは、あなたの組織のCSIRTは、図2に示した全てのサービスエリアおよびサービスを提供する必要は必ずしもない、ということです。図2に挙げた全てのサービスを提供できるようなCSIRTは世界中を見渡しても数少ないと考えられます。そのため、ご自身の組織の業務やビジネス、そして予算と人材を鑑みて、優先度の高いサービスエリアやサービスから実現していくことを、CSIRT Services Frameworkでは推奨しています。

次章以降は、図2に挙げたサービスエリアと、CSIRTにとって特に重要と考えられる、いくつかのサービスについて概要をご紹介します。

2. サービスエリア:情報セキュリティイベント管理

情報セキュリティイベント管理サービスエリアは、様々なイベントログやデータソースの分析をおこない、情報セキュリティインシデントを特定することを目的としたサービスエリアです。組織によっては、このサービスエリアに含まれるサービス全てを内外のSecurity Operation Center(SOC)へ委託する場合も考えられます。
次に、本サービスエリアに含まれるサービスのうち、以下の主要サービスをご紹介します。

  • モニタリングと検知
  • イベントの分析

2.1. モニタリングと検知

"モニタリングと検知"サービスは、ログデータやIDSのアラートといった情報セキュリティイベントデータに基づいて、ルールベースまたはパターンマッチング技術も活用し、情報セキュリティインシデントの可能性のあるイベントを特定するためのサービスです。膨大なデータ量を管理・処理するためにSIEMといったビッグデータ処理用途の製品が利用されるケースが近年増加しています。CSIRT Services Frameworkでは、本サービスを運用していく上で誤検知量を抑えるための改善活動を盛り込むことが重要である、と指摘をしています。これは自組織の置かれた状況や時期に応じて既存のシグネチャやルールは劣化をしていくことから、常に偽陽性と偽陰性を減らすための努力が必要であることを意味します。

2.2. イベントの分析

検知された情報セキュリティインシデントの可能性のある事象群はトリアージを行い、各々実際に対処が必要なインシデントなのか誤報なのかを手動または自動で評価・判断をしなければなりません。これらの判断のためには、例えばアラート情報の他に追加情報の取得が必要となる場合があります(例としてPCを利用しているユーザに聞き取りを行う等が挙げられます)。またインシデントの適切な調査のために、複数のインシデントに対して優先度を決定する必要も生じると考えられます。"イベントの分析"サービスではこのような要求に応えるための機能群が定義されています。イベント間の優先度の決定や関連付けは、効率的なトリアージとその後のインシデント調査に必要不可欠であることから、重要なサービスであると考えられます。

3. サービスエリア:情報セキュリティインシデント管理

"情報セキュリティインシデント管理"サービスエリアはCSIRTの中核を成す、インシデント発生中の関係者の支援に不可欠なサービス群で構成されます。CSIRTは独自の専門知識を活用して情報セキュリティインシデントレポートを収集し、関連データを分析し、インシデントや使用されたアーティファクト(攻撃痕跡)の技術的な分析を実施します。分析を通じてインシデントの被害緩和策や回復に向けた手順を特定することも求められます。これらの活動には他のCSIRTや専門家、製品ベンダ、PSIRTといった外部組織との調整作業も必要となるため、このような活動に関連するサービスについても本サービスエリアに含まれています。
次に、本サービスエリアに含まれるサービスのうち、以下の主要サービスをご紹介します。

  • 情報セキュリティインシデントレポートの受付
  • 情報セキュリティインシデントの分析
  • アーティファクトの保全とフォレンジック分析
  • 緩和策の実行と回復
  • 情報セキュリティインシデントの調整

3.1. 情報セキュリティインシデントレポートの受付

CSIRTにおける最も重要なタスクは、管理内にあるネットワーク、デバイス、ユーザ、またはインフラストラクチャといった対象に影響を及ぼす情報セキュリティイベントと、潜在的な情報セキュリティインシデントに関するレポートの受信であるとCSIRT Services Frameworkは述べています。関係者が情報セキュリティインシデントを効果的に報告するために、CSIRTは少なくとも1つ以上の情報セキュリティインシデントを安全に報告するための方法とガイダンスを提供する必要があるとされます。報告するための方法には、電子メールやWebサイト、ポータルサイトなどが一般的に用いられます。

3.2. 情報セキュリティインシデントの分析

"情報セキュリティインシデントの分析"サービスは、情報セキュリティインシデントとその実害や潜在的な影響を理解するための機能で構成されています。より具体的には攻撃や利用された脆弱性を特定するといった機能を含みます。本サービスの主要な目的は情報セキュリティインシデントを分析して理解を得ること、です。一般に情報セキュリティインシデントは、影響範囲、影響を受けるエンティティ、展開されたツールまたは攻撃、インシデントの発生した時系列、などで整理することができますので、これらの情報を取得し、分析をする作業が行われます。

3.3. アーティファクトの保全とフォレンジック分析

"アーティファクトの保全とフォレンジック分析"サービスは情報セキュリティインシデントに関連するアーティファクトや、拡散メカニズム、検出方法、無害化の方法、などについて理解するための機能を含んでいます。フォレンジック分析を実施する際には、可能な限りアーティファクトや痕跡を改変が無いように収集する必要がある点に注意が必要となります。一般的にこの一連の活動は非常に複雑で時間がかかり、マルウェアを直接取り扱う場合もあることから、組織内ネットワーク環境から隔離された、専用の閉鎖解析環境を構築して当該環境内で作業を進める場合が多いと考えられます。

3.4. 緩和策の実行と回復

分析を通じて情報セキュリティインシデントが発見され、インシデント対応方針が決定されると、これをより具体的なインシデント対応計画に変換していきます。"緩和策の実行と回復"サービスには、これらの業務に必要となる機能が含まれています。CSIRT Services Frameworkによれば、インシデントの緊急性によっては対応計画が決定される前にアドホックに対応措置を取らなくてはならない等、柔軟な運用判断が求められる場合があるとされます。本サービスに求められる要件は組織のミッションや優先度によって大きく変化しますので、セキュリティチームだけではなく他部署との調整や同意が必要となると考えられます。

3.5. 情報セキュリティインシデントの調整

情報セキュリティインシデントに関連する情報と、進行中の状況について通知を受けることは利害関係者や組織にとって非常に重要です。情報セキュリティインシデントを効果的かつ効率的に処理するためには、適切なエスカレーションと報告形式を決めておく必要があります。CSIRTはこれらの運用を達成するために、情報セキュリティインシデントの状況を通知するコミュニケーションチャンネル(メーリングリストやSlackなどが近年では一般的でしょうか)を予め準備する必要があります。お察しの通り、本サービスではコミュニケーションに関する機能を定義するものになります。

4. サービスエリア:脆弱性管理

"脆弱性管理"サービスエリアには、脆弱性の発見、分析、および処理に関連するサービスが含まれています。さらに本サービスエリアには、既知の脆弱性の悪用を防ぐための既知の脆弱性の検出と対応に関連するサービスも含まれており、新しい脆弱性と既知の脆弱性の両方に関連するサービスが含まれている点に注意が必要であると、CSIRT Services Frameworkでは述べています。
次に、本サービスエリアに含まれるサービスのうち、以下の主要サービスをご紹介します。

  • 脆弱性の発見と研究
  • 脆弱性報告レポートの取得
  • 脆弱性の分析
  • 脆弱性への対応

4.1. 脆弱性の発見と研究

"脆弱性の発見と研究"サービスにはCSIRTがプロアクティブに実行する可能性のあるCSIRT自身による研究や、他のサービスの実行結果による脆弱性発見に用いられる機能や活動が含まれています。CSIRT Services Frameworkによれば、リアクティブに脆弱性情報提供サービス等から新たな脆弱性を受け取る機能は"脆弱性報告レポートの取得"サービスが担当するとのことですが、CSIRTはインシデントレポートの調査といった活動中に新しい脆弱性発見することがあるため、このようなケースは本サービスで担当するとのことです。また、一般論として脆弱性はウェブサイトやメーリングリストの公開情報から得られるケースも多々存在します。

4.2. 脆弱性報告レポートの取得

脆弱性情報の主な情報源の1つはCSIRTの関係者または他の第三者から送信されたレポートや質問です。CSIRTはこれらの様々な情報源から脆弱性の存在可能性を予測し、脆弱性が発生するメカニズムや注意すべきガイダンスを提供しなければなりません。レポートの様式としては電子メール、またはWebベースの脆弱性レポートなどが一般的ではないでしょうか。CSIRTのサポートガイダンスには脆弱性報告のガイドラインや連絡先情報、開示ポリシーを掲載しておくことが、CSIRT Services Frameworkでは推奨されています。

4.3. 脆弱性への対応

"脆弱性への対応"サービスに含まれる機能は、多くの場合脆弱性の存在を探索する活動を通じて、開示された脆弱性が関係者のシステムに存在するかどうかチェックすることを目的としています。CSIRT Services Frameworkを参照すると、このサービスにはパッチや回避策の配布といった脆弱性を修正・軽減するための活動も含まれるとのことです。

5. サービスエリア:状況認識

CSIRT Services Frameworkによれば、状況認識とは、CSIRTの責任範囲における運用やビジネスに影響を及ぼす可能性のある事象を特定し、理解し、伝達する能力を指します。"状況認識"サービスエリアには、様々な分野から関連情報を収集する方法、その情報を統合する方法、および得られた知見を配布して、より多くの情報に基づいて意思決定を行えるようにするための機能が含まれています。一見、状況認識は脆弱性管理と何が異なるのか、と思われる方もいらっしゃると思いますが、単純にレポートを受け取って組織に影響が無いかどうか判断するだけではなく、地政学的なリスクや、将来に発生が予想される攻撃に関するプロアクティブな情報収集を指すと考えれば、理解がしやすいかもしれません。ICTシステムを取り巻く脅威状況は絶えず変化をしていますので、本サービスエリアで提供されるサービス群は、特に幅広くビジネスを展開するような組織において重要と考えられます。
次に、本サービスエリアに含まれるサービスのうち、以下の主要サービスをご紹介します。

  • データの獲得

5.1. データの獲得

"データの獲得"サービスでは、内外を問わず状況認識に係る重要な活動を収集する機能が配備されます。具体的には、現在のイベントに関するニュースや、将来の予想に関するレポート、収集したデータのフィルタリング、インシデントの防止に向けた情報の整理、といった情報管理に関する機能が含まれます。このようなデータの収集を怠ると、他のサービスが実情と異なる非効率的な体制を構築してしまったり、誤った判断をしてしまったりするリスクが増加します。サイバーセキュリティについて熱心な組織は常日頃から脅威インテリジェンスの収集と整理を行っていますが、このような活動も本サービスに含まれると考えられます。

6. サービスエリア:知識の伝達

"知識の伝達"サービスエリアには、組織内のユーザへCSIRTが取得・整理した知識やプラクティスを共有し伝達するサービスが含まれています。具体的にはサイバー演習や、従業員を対象としたフィッシングメール訓練、ITシステムを構築する際のセキュリティ・ベストプラクティス集などが該当すると考えられますが、これらは組織の全体的なサイバーセキュリティを向上させるという大きな役割を果たします。
次に、本サービスエリアに含まれるサービスのうち、以下の主要サービスをご紹介します。

  • トレーニングと教育

6.1. トレーニングと教育

トレーニングや教育プログラムを関係者や従業員に受けてもらうというのは、将来に発生するインシデントを防止する等、関係組織を含めた全体のサイバーセキュリティの向上に貢献します。昨今ではサイバーセキュリティに詳しくない組織構成員も単純なフィッシングメールによるアカウント情報の窃取からBEC(ビジネスメール詐欺)といった手の込んだ攻撃、重篤な脆弱性を即座に悪用した攻撃など、様々な脅威に晒されています。全ての攻撃を事前に防ぐことはできないとしても、教育プログラムを通じた啓発により、将来の被害の軽減に確実に貢献することができます。"トレーニングと教育"サービスでは、上述したようなトレーニングや教育に必要な機能が含まれています。

7. まとめ

本記事では、セキュリティオペレーションに携わる方々や、セキュリティチームの検討をされている方々を対象として、CSIRT Services Framework v2.1の内容、特にサービスエリアと主要サービスの概要についてご紹介しました。CSIRTがどのようなサービスを提供するべきか、という点についていくらか感触を持っていただけたのではないでしょうか。なおCSIRT Services Framework自体は高い抽象度でサービスや機能を記述することを目的としているため、製品名やアルゴリズムといった具体的な実装方法については対象外としています。そのため、ご自身のチームで何らかの機能を実装し、運用する場合には自身の組織の規模や成熟度、予算を加味して技術選択をしていく必要がありますので、その点は注意が必要です。
CSIRT Services Framework、特にバージョン2.1の情報は日本語だとまだまだ少ない状況ですので、ぜひ参考にしていただければと思います。なおバージョン1.1についてはFIRSTの公式サイトから日本語版がダウンロード可能です PDF[4]。少しバージョンが古いですがこちらもぜひご覧ください。

参考資料

執筆者プロフィール

羽角 太地(はすみ だいち)
セキュリティ技術センター AI分析官開発・活用チーム

入社以来、サイバーセキュリティおよびCSIRTの運用効率化技術に関する研究開発に従事。近年はサイバーセキュリティの観点から見た人間行動のモデル化に取り組んでいる。専門は通信ネットワーク、機械学習など。