[調査・レポート]
56%の企業がCSIRTを設置するも、うち67%はインシデントに対処する自信がない─ガートナー
2023年7月20日(木)日川 佳三(IT Leaders編集部)
ガートナージャパンは2023年7月20日、インシデントレスポンスについての調査結果を発表した。56%の企業がCSIRT(インシデント対応組織)を設置している一方で、CSIRT設置企業の67%は迅速なインシデント対応を実施することに「自信がない」と回答した。これを受けて同社は、インシデントレスポンスの強化に向けて企業が押さえておくべきポイントを指摘している。
ガートナージャパンは、インシデントレスポンス(インシデント発生時の対応)についての調査結果を発表した。国内の従業員300人以上の組織を対象に2023年2月に実施した調査で、56%の企業がCSIRT(インシデント対応組織)を設置している一方で、CSIRT設置企業の67%は迅速なインシデント対応を実施することに「自信がない」と回答した(図1)。
図1:CSIRTの設置状況とインシデント発生時のレスポンスへの自信についての調査結果(出典:ガートナージャパン、2023年7月)拡大画像表示
調査結果を受けてガートナーは、インシデントレスポンスの強化に向けて企業が押さえておくべきポイントを指摘する。「1つのインシデントがサプライチェーン全体や広く社会に影響を与える。企業はインシデントレスポンスが後手に回らないよう、インシデントを早く探し出し、早く閉じ込め、早く元に戻す必要がある」(同社)。
まず、インシデントを「早く探し出す」必要があると同社は説く。「国内企業はこれまで、ネットワークやエンドポイントのようなセキュリティの個別領域でインシデントの予兆を検知し、原因を究明してきた。しかし、セキュリティの脅威は複雑になっていて、個別の領域で発生した単体のアラートだけを見ていても、アラートが示す本当の意味までは捉えられなくなっている」(同社)。
インシデントの早期発見に必要なポイントとして同社は、「個々の領域で発生している小さな事象を丁寧につなぎ合わせ、これまでよりも一段高い位置から一連の流れ (コンテキスト/文脈) として捉え直すことができるような、全体俯瞰による新しい視座」が必要だと指摘する。
インシデントを「早く閉じ込める」必要もある。インシデントレスポンスで重要な点は、セキュリティの脅威を自社のシステム環境から早く「隔離」することである。脅威を隔離するためにシステムを一時的に停止する決断が、経営層に求められる。原因が分からない場合は、ならなおさら早く、脅威を隔離する決断を下す必要がある。
「BCP(事業継続計画)のような取り組みの中でコンティンジェンシープランを十分に整備している場合は、インシデントの原因が不確定の場面でも、脅威の隔離とシステム一時停止といった難しい決断に対処しやすくなる」(同社)
インシデントが発生した状況から「早く元に戻す」ことも大切である。ガートナーによると、国内企業の多くが外部のSOC(セキュリティオペレーションセンター)サービスを活用しているが、SOCがカバーするのはインシデントの検知フェーズであることが多く、実際に外部の支援が必要なインシデントへの対応と復旧のフェーズはカバーしていないのが実情という。
「最近では、国内でもインシデントのリテーナーサービスが登場しており、インシデントへの対応と復旧フェーズで、原因究明、証拠保全および復旧について、自社に並走しながらアドバイスを提供してくれる」(同社)
