CSIRTとは？セキュリティ人材育成の必要性と構築支援活用のすすめ

はじめに、CSIRTについて概要を解説します。

CSIRTとは？

CSIRT（Computer Security Incident Response Team）とは、コンピュータセキュリティに関連するインシデントが発生した際、その対処を行うチームの総称を指します。企業内に組織され、平時はインシデントに関する情報収集と分析、非常時の対応方針の策定を行います。インシデントが起きた際は連絡窓口として、情報を関連部署や組織と連携しながら、システムの停止・復旧・原因の究明などを行います。

CSIRTが必要とされる理由｜増えるCSIRTの設置数

近年のサイバーインシデント発生数の増加や高度化（悪質化）に伴い、企業がCSIRTを立ち上げることや運用していくことは、数年前よりも一般的になっている傾向があります。“CSIRT”という言葉を使わず、日本シーサート協議会に加盟しなくとも、それに該当する（同じ機能をもつ）組織を構築・運用している企業も多いと考えられます。

以下はJPCERTのインシデント対応レポートより引用したものです。インシデント報告件数がここ数年かなり伸びており、実際に起こっているインシデントが年々増加している傾向にあることがわかります。

【図1】JPCERT/CCに寄せられたインシデント報告件数の推移

(出典) JPCERT/CC「インシデント報告対応レポート 2023年1月1日～2023年3月31日」,p5

また、以下は2021年時点のCSIRT設立数と日本シーサート協議会加盟数の推移です。2007年に協議会が設立された後、日本シーサート協議会に加盟した、またはCSIRTを社内に設立した企業の数は年々増え、ここ数年は飛躍的に伸びていることがわかります。2023年12月時点では500以上の企業が加盟しているとの情報もあります。

【図2】日本シーサート協議会加盟組織の設立年と加盟数の推移

（出典）日本シーサート協議会加盟組織一覧2021年版,p16

CSIRTを機能させるために必要な3つの要素

インシデントを検知するための技術的な対策が導入されていることを前提に、CSIRTを構築・設置した後、適切に運用するには大きく分けて以下の3つの要素が必要になります。

組織（体制）

インシデント対応体制（CSIRT）を構築し、インシデントが発生した際の組織の役割や責任、大まかなインシデント対応の流れ等を明確にします。

人（人材）

インシデント対応を行うIT人材に対して、セキュリティ教育や研修等を通して、役割毎に必要な知識やスキルを習得させます。

運用経験

インシデント対応に関する実践的な演習等を通して、インシデント対応の経験値を上げます。

この3つが揃うことで、重大なインシデントが起きた際も、 CSIRTは適切に対応できるようになります。しかし、この要素を全て揃えるには「人材」「経験」という面で難しくなっているのが現状です（後述）。

CSIRTの問題点｜有効活用できない現状

CSIRTの構築数や日本シーサート協議会への加盟数が増えている一方、「CSIRTを組織したけれども、有効に働いていない」という声も多く聞こえており、それが実態に近いと考えられます。弊社がよくご相談を受けるのは以下のような悩みです。

次章でこの問題について解説します。

（出典）IPA：プラクティス・ナビ「インシデント対応経験がない要員でCSIRTを組成したが対応に不安がある」

ここではCSIRTを構築・設置したもののうまく機能せず形骸化してしまう理由について、順に解説していきます。

【原因①】セキュリティ人材の不足

一つ目に、セキュリティ人材の不足が挙げられます。現在の日本では一般企業だけではなく、SIer、セキュリティ専門会社、さらに国家も含めて、「情報セキュリティの担い手」が不足している状況が続いています。

【図3】IT人材需給の試算結果

（出典）大分大学理工学部理工学科 学生の確保の見通し等を記載した書類 別添資料：
経済産業省「IT人材需給に関する調査（概要）」,p2

このグラフは経済産業省のIT人材の最新動向と将来推計に関する調査結果です。2018年から2030年にかけてどの程度の人材が不足するか推計されています。このグラフからもわかるとおり、セキュリティ人材が需要に対して不足していることは周知の事実です。ユーザー企業だけではなく我々セキュリティベンダーも含め社会全体の課題といえます。

一方、同じ資料では「年 3.54%の労働生産性上昇を実現した場合には、2030 年時点の IT人材の需要と供給は均衡することが見込まれる」としています。これは、前回調査の時点で2030年の需給ギャップ数が59万人だったのに対し、新しい調査では45万人と試算されていることにも現れており、わずかながら改善しているとみることもできます。

弊社の顧客である大学様の事例では、情報系の学部（一学年200～300名）の約3割がサイバーセキュリティを専攻しているそうです。この大学に限らず、IT関連学部の定員緩和検討や情報系学部を志望する学生数の増加などの情報もあります(*1)。彼らが毎年卒業していけば、セキュリティ人材の不足は今後少しずつ改善傾向に向かうのではないかと期待しています。

とはいえ、セキュリティ人材を企業が「すぐに」採用することが難しいのは事実であり、喫緊の課題であることは間違いありません。現時点では大きな社会問題であり、企業側も中途採用や新卒採用でセキュリティ採用を行うのは難しいのが現状です。ここから、CSIRTを自社で構築・運用する際にも「人材がいない、集められない」ことがハードルとなることがわかります。

*1：参考資料
文部科学省高等教育局：デジタル人材の育成等について（政府予算関連等）
文部科学省：デジタル人材育成と23区定員増加抑制規定について
朝日新聞Thinkキャンパス：デジタル系学部の定員緩和　注目は「データサイエンス×専門分野

【原因②】CSIRT運用における経験値の不足

CSIRTが形骸化する原因の二つ目は、CSIRT運用の経験値不足です。

本来、インシデントが起きた場合はCSIRTが動いて対応します。これにより「対応の経験値」が積まれていく状況になるはずです。しかし弊社の関わった事例から見ると、実際にはCSIRTの経験値を積むことができていない、つまりインシデント対応からの学びがうまくできていない事例が多いのが現状とみています。

例えば、「何も具体的な問題が起きていないからしばらく様子を見よう」「疑わしい事象がいくつか上がっているけれども、インシデントかどうか判断がつかない」など、正常性バイアスがかかった、あるいは事態の先送りが発動した結果、そこで調査を止めて放置してしまい、その後の対応も行われていないケースがあります。

また、CSIRTの体制や対応基準を作ったものの、「動いていないフローもあり、実際に大きいインシデントが発生したとき適切に対応できるかどうか分からない」というケースもあります。このようにCSIRTの運用経験を積むことができないままでは、いざ重大なインシデントが発生した際に適切に機能しないおそれがあります。

実際に起こっているセキュリティのニュースを見ると、例えばランサムウェアに感染して業務が止まったなど、刺激的な事案は多く目につきます。しかし、実際に自社でそこまで大きいことが起きたことがあるか、全社を巻き込むような動きをしたことがあるかといえば、その経験をすること自体が難しいのではないでしょうか。ここからも「CSIRT運用の実務経験を積む」ことが、実はかなり難易度の高いものであるとわかります。逆に言うと、全社を巻き込むような、本当に危険なインシデントを経験する前に、CSIRTを担当する部署や担当者は、相応の知識を得て教育と訓練を施されておかなければならないといえます。

これは、まだインシデントかどうか判断できない「疑わしい段階」で、気軽に相談できる専門家がいないことも一因と考えられます。専門家（アウトソーシングしたベンダーの担当者など）とのコミュニケーションは相応の知識やスキルをもつ人材が必要なため（後述）、2つの原因への対策を同時に行っていく必要があります。

CSIRTが活動する為には多くの役割、様々な技術が必要となります。経営者の関与、組織運営、システム運用の必要はもちろん、情報共有、収集・分析、インシデント対応等、様々な専門知識が必須です。しかし、全ての機能を自社でそろえるのは難易度が高いといえます。そこで日本シーサート協議会「CSIRT 人材の定義と確保」では、CSIRTを運営する組織ごとに区分したうえで、一部機能のアウトソーシングを提案しています。

同じCSIRTでも業界、ビジネス形態に合った組織を作る必要があり、必要な役割も異なります。どのような役割が必要なのか整理したうえで、それぞれどこを自社のリソース（人材）で対応し、どこをアウトソースするのか、こういった資料も参考に整理することが推奨されています。

以下は、一部の機能をアウトソーシングした場合(モデルA：ユーザー企業)の全体像です。CSIRT機能の半分近くを外部の専門家に委託することで、CSIRTが機能するとしています。

【図4】外部委託を利用したCSIRTの全体像の一例（平常時・インシデント対応時）

(出典)日本シーサート協議会：CSIRT人材の定義と確保(Ver.2.1)

ただし、この方法にも実は問題点があります。「アウトソースできる」と書かれている機能であっても、実際は（企業によっては）ここまで細かく分ける必要はなかったり、別の分け方をしたほうが合っていたりと千差万別です。一般的な外部に公開されている資料を参考にしつつも、企業、また企業内CSIRTの各メンバーでその組織での役割を決めることが結局は必要になります。

以上の点をふまえ、次章でアウトソーシングする際の問題と、解決のための対策について詳しく解説します。

CSIRTを適切に運用し効果を出すための一つの方策として、一部機能のアウトソーシングが有効と紹介しました。ただし、アウトソーシングにも注意が必要です。ここでは弊社の事例などももとに、CSIRTの機能をアウトソーシングする際の代表的な3つの問題点を詳しく解説します。

【アウトソーシングの問題点①】専門家とコミュニケーションが取れない

例えばインシデント発生時、外部のセキュリティ専門家やアナリストと呼ばれているメンバーに支援依頼する場合、社内の担当者も情報セキュリティやCSIRTに関する「最低限の知識」が必要となります。特にインシデント発生時は、迅速な対応のためにも円滑なコミュニケーションが重要なのですが、社内担当者に専門的な知識や用語の理解が不足していると、コミュニケーションがうまくとれないケースが起こり得ます。

CSIRTを構築したものの上手く運用できていない企業には、こういったセキュリティの基礎知識において専門家とかなり大きなギャップがあるところも多く、「円滑にコミュニケーションが取れない」「何を言っているのか理解するのに時間がかかる」とご相談をいただくケースもたびたびあります。

「セキュリティのアナリストがもっと噛み砕いて、平易な言葉で説明すればいい」という意見があります。ただこれについては、セキュリティに関する話をするとき、専門用語を使って話をする方が、事態をより正確にとらえることができ、早くコミュニケーションをとることができるという現実があります。

対応策の一つとしては、最新のツール（SOARや生成AIなど）を導入・活用することによって検知から対応までの負担を軽減することで 人材不足を補うという方策もあり、ある程度効果的といえます。しかし、アウトソースする部分をすべてツールでカバーするのは現実的ではないでしょう。結局はアウトソースする業務に関して外部の専門家とのコミュニケーションは発生します。いずれにせよ、ある程度の専門知識やスキルをもった内部人材を配置することはやはり必要です。

【アウトソーシングの問題点②】インシデント対応フローにおける担当範囲が把握できていない

CSIRTを設置している企業においては、ある程度インシデント対応フローやインシデント対応基準と呼ばれるものがすでに策定されていることも多いです。しかし、それがざっくりしていて細かく作られていない状況も散見されます。そのため、「どのタイミングで外部のベンダーを使うのか」の判断がしづらくなっています。

インシデント対応フローには、自社の中での流れは書いてあるかもしれません。しかし、例えば外部との連携について記載が不足している例もあります。また、自社で対応解決できる範囲と、外部のベンダーで解決できる範囲が、きちんと理解、整備されていないことも課題として出ています。

アウトソーシングを受けている我々のような外部ベンダーでは、顧客企業内のワークフローや業務内容の全貌について判断できないものも多々あります。特にビジネスに直結する判断などの観点は、どうしても最後は企業内の担当者がやらざるを得ないケースも少なくありません。以上から、インシデント対応における担当範囲の整理は重要です。

【アウトソーシングの問題点③】アウトソーシングする箇所の選別がそもそもできていない

潤沢な予算があれば、CSIRT運用やインシデント対策に関するほとんどをアウトソースできる可能性はあります。しかし、常に最大体制を維持する費用を払い続けるのは現実的ではありません。そうすると、「すべてを」よりは「どこかを」切り出して、「ここは内部で対応する」「この部分は自社ではできないので外部の専門家を使って対応する」と整理することは必須であり、非常に重要です。しかし、実際はその選別ができていない企業が多くみられます。

また、アウトソースをして相談内容の説明やコミュニケーションに問題がなくても、「どのタイミングで相談すればいいのか」「どの範囲を外部に依頼すればいいのか」については、やはり整理が必要となってきます。

アウトソーシングの問題への対策｜適切な人材教育と組織についての整理を行う

以上から、CSIRTを形骸化させないためのアウトソーシングの活用には、既存の人材に教育を行い、CSIRTの経験値を正しく積んでもらうことが大切です。またここで挙げたような、インシデント対応時にアウトソーシングする箇所の選別も、より精密に行う必要があります。人材教育とともに、自社の組織について、平時からきちんと整理をしておくことも重要です。

アウトソーシングをするにも、必要な人材教育を行うにも、ツールを活用するにも、ただアウトソーシングをすればいいだけでは難しく、人材を社内で教育することやツールの導入と活用も体系立てずバラバラに行っていては効果が出ないことがわかります。自組織のCSIRTで必要な役割を定義し、その役割に応じた人材教育を実施することがポイントです。

結論として、「体系立てた人材教育と、インシデント発生時によりスムーズに相談できる専門家とのコミュニケーションを可能にする、この2点をアウトソーシングで構築し、徐々に企業内にCSIRTの運用をなじませていく」ことが必要といえるのではないでしょうか。これに対するわれわれSCSKの取り組みについては、次章で具体的に紹介します。

CSIRTの３つの課題「IT人材不足」「経験値不足」「アウトソーシングのための役割分割と整理不足」を解決するには、「適切なアウトソーシング」を行いつつ「自社でのIT人材を育成し経験値を積ませる（人材教育を効果的に行う）」必要があると解説しました。ここではCSIRTを構築・導入するにあたり課題となっている「人材教育」と「アウトソーシング」について、SCSKの取り組みを紹介します。我々SCSKは、日本シーサート協議会などの指標を参考にしながら、CSIRTの構築や人材の育成について具体的に取り組めるサポートを提供しています。（参考：SECURE YOUR SITE とは｜SCSK株式会社）

【支援例①】人材教育｜役割に応じた教育・演習サービス

セキュリティ教育研修-概要｜SCSK株式会社

SCSK社内のエンジニア教育コンテンツを活用し、現場で役立つ実践的な知識やスキルを体系的・効率的に身につけることができます。初学者からセキュリティ実務の担当者まで、それぞれの習熟度に応じたトレーニングを提供できるため、現場ですぐに活用できる実用的な知識を得ることが可能になります。

【イメージ】モデル受講順

【支援例②】体制整備｜CSIRT構築支援サービス

CSIRT構築支援-概要｜SCSK株式会社

CSIRTの立ち上げ、運用、強化のステップにわたってサービスを提供します。

CSIRT構築の進め方の全体像

SCSKはSIerとしての導入・構築・運用経験（施策実現性への貢献）とセキュリティベンダーとしての知見・社会情勢の精通（施策妥当性への貢献）の２つの特長を持ったセキュリティコンサルティングベンダーのため、以下の特長をもち、CSIRT立ち上げ後の幅広いセキュリティソリューション導入支援が可能です。

【支援例③】経験蓄積までのサポート｜セキュリティアドバイザリサービス

セキュリティ アドバイザリサービス-概要｜SCSK株式会社

SCSKの経験豊富なセキュリティアナリストの、リモートサポートによるセキュリティ対応支援サービスです。セキュリティの知見を持った人材がいない現場では、以下のような問題が起こりやすくなります。

このような事態にお困りのお客様へのセキュリティ対応を、技術支援と情報配信の両面からSCSKがリモートで支援します。

この記事では、CSIRTを自社内で構築し運用する場合の問題点と課題、必要な解決策について解説しました。

1. CSIRTを形骸化させないために、既存の人材の教育とCSIRTの経験値を正しく積むことが重要
2. 人材の教育は、自組織のCSIRTで必要な役割を定義し、その役割に応じた教育を実施することがポイント

SCSKでは、CSIRTの構築から役割に応じた人材の教育、インシデント発生時のサポートまで、CSIRTを支援するサービスの提供が可能です。詳しくはぜひお問い合わせのうえご相談ください。