インシデント対応体制構築のための
テンプレート集
CSIRT構築
ベストプラクティス
テンプレート
まずはサンプルを見る
ABOUT テンプレート概要
「CSIRT構築ベストプラクティステンプレート」は、Solitonがこれまでに様々なインシデント事案の対応支援を実施してきた経験と実績がその背景にあります。Solitonには企業不正や不祥事の対処や、サイバーセキュリティの事案対応を支援する専門組織があり、外部専門家とともにお客様のインシデント対応チームの支援を長年実施してきました。その経験からこれまでも公的機関や金融機関のCSIRT支援や、上場企業のCSIRT構築支援といった実績を積んでいます。
これらの豊富な経験・実績・知見をもとに、インシデント発生から収束に至るまでの最適な対応手順をSolitonが監修しテンプレート化したものが「CSIRT構築ベストプラクティステンプレート」です。
このテンプレートを用いてインシデント発生時の組織対応をマニュアル化することで、CSIRTと同等のインシデント対応機能を持つ体制を短期間で社内に構築することができます。
SUPPORT AREA 対応範囲
インシデント発生~収束までのインシデントレスポンスに特化したテンプレート
米国CERT/CCのCSIRT業務の分類(下表)では、CSIRTの機能領域は平常時のセキュリティ品質管理やトレーニング等にまで広範に及んでいますが、本テンプレートはインシデント発生~収束までのインシデントレスポンスに特化した対応手順のテンプレートを提供致します。
FEATURE 特徴
インシデント対応に特化した
仮想CSIRT体制構築に必要なテンプレート
本テンプレートは、CSIRTの活動範囲をCSIRTの根幹である「インシデント対応」に特化し、普段は通常業務を行いながら、インシデント発生時には各部門が連携し、危機対応専門のタスクフォースとして機能する「CSIRT」の構築を目指し、組織作りからインシデント発生時の具体的行動までのノウハウをまとめたベストプラクティスとしてご提供します。このテンプレートにお客様ご自身にて具体的な社内情報(担当者名等)の落とし込み作業を実施いただくことによりマニュアル相当のものが出来上がります。
CONDITION こんなお客様に
CSIRT構築ベストプラクティスは、次の6つの条件の1つでも当てはまる企業・組織を想定して開発しています。
6つの前提条件 |
---|
インシデントがそれほど多くない本当に「インシデント」として対処しなければいけないレベルの事案発生が、多くても四半期に1件程度の想定。 |
サプライチェーンリスクへの対応が必要サプライチェーンリスクへの対応として体制構築を検討、または要求されている企業や組織。 |
短期間で安価に基盤を作りたい1ヶ月程度、100万円程度のコストで、まずCSIRTの全体像を整備したい企業や組織。 |
専業組織ではなく一時的組織で対応したい普段は別の仕事をするメンバーが、発生したときだけチームを組み対処するという前提。 |
社内に専門エンジニアが少ないIT部門が数名とか、セキュリティ専門家がいない、少ないことを前提としています。「インシデント」が多様化する現在において、全てに対処できるエンジニアや専門家の育成には無理があると考える企業や組織。 |
ガイドラインを読んだが無理と感じる経済産業省や情報処理推進機構(IPA)、JPCERTコーディネーションセンター、日本シーサート協議会などが公開している様々なドキュメントを読み込んでも、どこから始めるのかをイメージできない。 |
TEMPLATE インシデント対応フロー
想定するCSIRTを構成するメンバーは、普段は日常の仕事に従事しています。事案発生時に参照する手順は、短い時間で全体の流れと、ある程度の詳細を参照できなければ実際には使い物になりません。ソリトンシステムズのベストプラクティス・テンプレートは、スモールスタートを前提とし、今現在の組織の中で既に整備されているものや周囲の関係者などを棚卸しすることで、インシデント対応全体の基盤を短時間で構築します。
CSIRT構築ベストプラクティスは、Microsoft Officeの文書ソフトの形式を中心に、一部は表計算ソフトの形式で納品します。納品物に含まれているインストラクションに従って穴埋めしていき、例文や例示をヒントに、自社の事情に合せて自分たちで書き直し、追記・削除等を実施することで、CSIRT活動の基盤となる「マニュアル」に相当するものが完成します。
完成したマニュアルは、全ての別添書類を含めて50ページ前後となります。企業の文書の位置づけとしては、規程の文書類より1ランク下位であることを想定しているため「マニュアル」としています。緊急対処のマニュアルは、本来であれば少ないページ数であるほど実効性が高くなります。そこで、インシデント対応の各フェーズの重要項目を別添として、その部分のみを切り出して一覧できるような構成にしています。