日本シーサート協議会は、CSIRT(Computer Security Incident Response Team)の役務(サービス)を体系的にまとめた「FIRST CSIRT Services Framework v2.1 日本語版」を3月に公開した。
世界のCSIRT組織が参加するFIRST (Forum of Incident Response and Security Teams)の「FIRST CSIRT Services Framework v2.1」の日本語版で、CSIRTが検討すべきサービスを体系立てて一覧化したフレームワークである。企業・組織のCSIRTチームが、自社・自組織のサービス内容を作成・拡張・改善する際に大いに活用できそうである。原書の発行は2019年11月。原書66ページ、日本語版95ページ。
**CSIRT:セキュリティ・インシデントを防止・検知・対応・防御・管理する専門能力をもつ組織・チーム
「FIRST CSIRT Services Framework v2.1 日本語版」のCSIRTサービスのためのフレームワークは、「サービスエリア」 → 「サービス」 → 「機能」 → 「サブ機能」という4つの要素で構成されている。
「サービスエリア」は、性質の共通した関連サービスをグループ化したもの。「サービス」は特定の成果を出すための一連の機能を明記したもので、次のテンプレートで詳述される。
• サービスの性質を記述する「説明」フィールド
• サービスの趣旨を記述する「目的」フィールド
• サービスの測定可能な成果を記述する「成果」フィールド
「機能」は、特定のサービスの目的達成を目標とした活動を明記したもので、次のテンプレートで詳述される。
• 機能の説明を記述する「説明」フィールド
• 機能の趣旨を記述する「目的」フィールド
• 機能の測定可能な成果を記述する「成果」フィールド
「サブ機能」は、特定の機能の目的達成を目標とする活動で、以下のテンプレートでも説明される。ただし、サブ機能は完全に記述されず、簡単な特徴だけが述べられている。
• サブ機能の説明を記述する「説明」フィールド
• サブ機能の趣旨を記述する「目的」フィールド
• サブ機能の測定可能な成果を記述する「成果」フィールド
上記フレームワークのサービスエリアとサービス内容を明記したのが下図である。
「FIRST CSIRT Services Framework v2.1 日本語版」の目次は以下のとおり。
1 目的
2 イントロダクションおよび背景
3 CSIRT とPSIRT の違い
4 CSIRT サービス・フレームワークの構造
5 サービスエリア:情報セキュリティイベントマネジメント
5.1 サービス:監視と検知
5.2 サービス:イベント分析
6 サービスエリア:情報セキュリティインシデントマネジメント
6.1 サービス:情報セキュリティインシデント報告の受付
6.2 サービス:情報セキュリティインシデントの分析
6.3 サービス:アーティファクトとフォレンジック痕跡の分析
6.4 サービス:緩和と回復
6.5 サービス:情報セキュリティインシデントの調整
6.6 サービス:危機管理支援
7 サービスエリア:脆弱性管理
7.1 サービス:脆弱性の発見・調査
7.2 サービス:脆弱性報告の取得
7.3 サービス:脆弱性分析
7.4 サービス:脆弱性の調整
7.5 サービス:脆弱性の開示
7.6 サービス:脆弱性対応
8 サービスエリア:状況把握
8.1 サービス:データ取得
8.2 サービス:分析と統合
8.3 サービス:コミュニケーション
9 サービスエリア:知識移転
9.1 サービス:啓発
9.2 サービス:トレーニングと教育
9.3 サービス:演習
9.4 サービス:技術およびポリシーに関するアドバイス
ANNEX 1: 謝辞
ANNEX 2: 用語と定義
・FIRST CSIRT Services Framework v2.1 日本語版
・日本シーサート協議会
・FIRST (Forum of Incident Response and Security Teams)
[i Magazine・IS magazine]
