セキュリティ対応組織(SOC, CSIRT)の 教科書
発行者:日本セキュリティオペレーション事業者協議会(ISOG-J)
発行年月日:2017年10月
https://isog-j.org/output/2017/Textbook_soc-csirt_v2.0.pdf
概要
このガイドラインでは、組織の中でインシデントに対応する「セキュリティ対応組織」の活動目的を「事業におけるセキュリティリスクの低減」とし、その実現のためにセキュリティ対応組織が実行すべきことを以下の2つに定義し、
- インシデント発生の抑制
- インシデント発生時の被害最小化
その実行のための以下の機能を解説しています。SOC/CSIRTに求められる機能は共通するものが多く、以下の機能はおおよそすべての機能を網羅したものとなります。
CSIRTは、組織ごとに求められる役割が異なるため、自組織の目的に合わせて以下の機能を取り込むことが重要となります。
日本CSIRT協議会では、会員ごとのCSIRTの目的を確認することができます。
https://www.nca.gr.jp/member/index.html
A. セキュリティ対応組織運営
- A-1. 全体方針管理
- A-2. トリアージ基準管理
- A-3. アクション方針管理
- A-4. 品質管理
- A-5. セキュリティ対応効果測定
- A-6. リソース管理
B. リアルタイムアナリシス(即時分析)
- B-1. リアルタイム基本分析
- B-2. リアルタイム高度分析
- B-3. トリアージ情報収集
- B-4. リアルタイム分析報告
- B-5. 分析結果問合受付
C. ディープアナリシス(深掘分析)
- C-1. ネットワークフォレンジック
- C-2. デジタルフォレンジック
- C-3. 検体解析
- C-4. 攻撃全容解析
- C-5. 証拠保全
D. インシデント対応
- D-1. インシデント受付
- D-2. インシデント管理
- D-3. インシデント分析
- D-4. リモート対処
- D-5. オンサイト対処
- D-6. インシデント対応内部連携
- D-7. インシデント対応外部連携
- D-8. インシデント対応報告
E. セキュリティ対応状況の診断と評価
- E-1. ネットワーク情報収集
- E-2. アセット情報収集
- E-3. 脆弱性管理・対応
- E-4. 自動脆弱性診断
- E-5. 手動脆弱性診断
- E-6. 標的型攻撃耐性評価
- E-7. サイバー攻撃対応力評価
F. 脅威情報の収集および分析と評価
- F-1. 内部脅威情報の整理・分析
- F-2. 外部脅威情報の収集・評価
- F-3. 脅威情報報告
- F-4. 脅威情報の活用
G. セキュリティ対応システム運用・開発
- G-1. ネットワークセキュリティ製品基本運用
- G-2. ネットワークセキュリティ製品高度運用
- G-3. エンドポイントセキュリティ製品基本運用
- G-4. エンドポイントセキュリティ製品高度運用
- G-5. ディープアナリシス(深掘分析)ツール運用
- G-6. 分析基盤基本運用
- G-7. 分析基盤高度運用
- G-8. 既設セキュリティ対応ツール検証
- G-9. 新規セキュリティ対応ツール調査、開発
- G-10. 業務基盤運用
H. 内部統制・内部不正対応支援
- H-1. 内部統制監査データの収集と管理
- H-2. 内部不正対応の調査・分析支援
- H-3. 内部不正検知・防止支援
I. 外部組織との積極的連携
- I-1. 社員のセキュリティ対する意識啓発
- I-2. 社内研修・勉強会の実施や支援
- I-3. 社内セキュリティアドバイザーとしての活動
- I-4. セキュリティ人材の確保
- I-5. セキュリティベンダーとの連携
- I-6. セキュリティ関連団体との連携
このガイドラインでは、セキュリティ対応組織は所属する組織ごとに体制が違うとしたうえで、一般的にはB,Cの機能はSOCチームで対応し、A,D,E,F,G,H,IはCSIRTで対応する機能として解説しています。