社で一人CSIRTを作ってみた話（with AI）

Transcript

1. 社で一人CSIRTを作ってみた話 （with AI） ssmjp #49, 2025/07/22 @nknskn 1

2. 自己紹介：中西 健太 • X：@nknskn • お仕事：ITセキュリティ関連 • 会社：外販でRed Team/ペネトレ/脆弱性診断/コンサル、社内でCSIRT構築やらパープル系のR&Dやら •

   (New!!) 外向けに「パープルチームトレーニング」をリリース • 個人：(New!!) 副業始めました • 2025年7月: 【営業】 、【初受注】実績を解除 →「サーバのセキュリティチェック」のはずが「リプレイス＆DevSecOpsをどうにかする」感じに なった件について(近日公開???) • YouTubeの更新ができなくてツラい… • 経験値： • ベンダ企業で攻撃系サービス（RT/ペネトレ/診断とか）を一通り、インシデントのハンドリング・調査やらをボチボチ • その他トレーニング講師やら「セキュリティ関連の設定整理 兼 システム移行前後のセキュリティ向上支援」やら • チームマネジメント関連：リソースコントロールやらメンバー育成やら他部署との連携やら • スキル：ざっくりOSCE3ぐらい 2

3. 宣伝 • (New!!) 「パープルチームトレーニング」をリリース BarrierCrack、組織のインシデント対応能力を強化するパープルチームトレーニングサービスを提供開始 https://prtimes.jp/main/html/rd/p/000000008.000149241.html • ここでも別のネタ、なにをすべきなの？って部分の一般的な話を公開します 株式会社GRCS: 【8/5開催】物理的侵害からのサイバー攻撃に関する事例と対策を解説～物理セキュリティリスク評価の重要性と体制

   強化のポイント～ https://www.grcs.co.jp/seminar/20250805 ２．組織全体のセキュリティ体制を向上させるためのポイント • (New!!) 副業始めました ご相談はこちらまで → [email protected] ※社(本業)として受けさせていただけると大変嬉しみ… 3

4. 目次 • CSIRTとは - 一般論 • CSIRTとは - 自社（オレオレ）定義 •

   心構え • オレオレCSIRTで用意すると決めたもの • AI氏にご助力いただいたこと • インシデント対応経験を踏まえて作ったもの • まとめ 4

5. CSIRTとは - 一般論 • シーサート (CSIRT: Computer Security Incident Response

   Team) とは、コンピュータセキュリ ティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃 予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 日本シーサート協議会とは｜日本シーサート協議会について｜CSIRT - 日本シーサート協議会 • CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セ キュリティ問題を専門に扱う、インシデント対応チームです。 JPCERT コーディネーションセンター CSIRTマテリアル 5

6. CSIRTとは - 一般論 • シーサート (CSIRT: Computer Security Incident Response

   Team) とは、コンピュータセキュリ ティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃 予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 日本シーサート協議会とは｜日本シーサート協議会について｜CSIRT - 日本シーサート協議会 • CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セ キュリティ問題を専門に扱う、インシデント対応チームです。 JPCERT コーディネーションセンター CSIRTマテリアル 表現が微妙に異なる… 6

7. CSIRTとは 7

8. CSIRTとは …CSIRTとは？？ 8

9. 組織内CSIRT JPCERT コーディネーションセンター CSIRTマテリアル - 組織内CSIRTの理解: https://www.jpcert.or.jp/csirt_material/build_phase.html 9

10. 組織内CSIRT JPCERT コーディネーションセンター CSIRTマテリアル - 組織内CSIRTの理解: https://www.jpcert.or.jp/csirt_material/build_phase.html そんな定義で（うちは）大丈夫か？ 10

11. CSIRTとは - 自社（オレオレ）定義 • 前提として一般的なCSIRTの定義・役割は持つ • 内部：窓口・技術的対応・意思決定・調整・教育と啓蒙 • 外部：対応組織との連絡調整・事例/動向調査・各種情報の収集と提供 •

    一方で、ランサムウェアなどの災害系事案への対応、特に復旧系には不十分 な印象がある • インシデント発生時って大なり小なり”（誰かの）業務”はだいたい止まってるし… • しからば個人～組織レベルのBCPに関する定義・役割・対応も含めることにしよう 11

12. CSIRTとは - 自社（オレオレ）定義 • 前提として一般的なCSIRTの定義・役割は持つ • 内部：窓口・技術的対応・意思決定・調整・教育と啓蒙 • 外部：対応組織との連絡調整・事例/動向調査・各種情報の収集と提供 •

    一方で、ランサムウェアなどの災害系事案への対応、特に復旧系には不 十分な印象がある • しからばBCPに関する定義・役割・対応も含めることにしよう つまり自社に限っては、CSIRTを ”インシデントに対応するチーム/組織” ではなく ”自社のビジネス・利益を守るチーム/組織” と広めに定義 ※”インシデント対応”（とそれに関わる業務）は「守るための手段」と定義 ※これがいわゆる「中小の情シス」ってやつなんだろうなぁ…（遠い目） 12

13. 参考にした情報（一部） 団体 ドキュメント URL 参照目的 中小企業庁 中小企業庁BCP策定運用指針 – 中小企業白書 H28(2016)

    第4章 稼ぐ力を支えるリスクマネジメント https://www.chusho.meti.go.jp/pamflet/hakusyo/H28/h28/html/b2_4_ 1_4.html BCP策定 中小企業庁 3.2 BCPの準備、事前対策を検討する https://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_03a_2.html BCP策定 JNSA - CISO 支援WG CISO-PRACTSIEワークショップ用マテリアル Ver2 https://www.jnsa.org/result/act_ciso/2024/index.html CSIRT定義・構築 ISOG-J セキュリティ対応組織の教科書 第3.2版 (2024年10月) https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html CSIRT定義・構築 CSIRT協議会 CSIRT構築ガイド https://www.nca.gr.jp/activity/pub_doc/wtda.html CSIRT構築 CSIRT協議会 CSIRT スタータキット https://www.nca.gr.jp/activity/pub_doc/wtda.html CSIRT構築 JPCERT/CC CSIRTマテリアル https://www.jpcert.or.jp/csirt_material/ CSIRT構築 JPCERT/CC CSIRTマテリアル - 構想フェーズ https://www.jpcert.or.jp/csirt_material/concept_phase.html CSIRT定義 JPCERT/CC CSIRTマテリアル - 構築フェーズ https://www.jpcert.or.jp/csirt_material/build_phase.html CSIRT構築 JPCERT/CC CSIRTマテリアル - 運用フェーズ https://www.jpcert.or.jp/csirt_material/operation_phase.html CSIRT運用 NIST SP 800 Final (SP 800系のすべて) https://csrc.nist.gov/publications/search?keywords-lg=800-&sortBy-lg=Nu mber+DESC&viewMode-lg=brief&ipp-lg=ALL&status-lg=Final&series-lg=SP インシデント対応全般 予防～運用～対応 経済産業省 サイバーセキュリティ経営ガイドラインと支援ツール https://www.meti.go.jp/policy/netsecurity/mng_guide.html CSIRT定義・構築 経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開 https://www.meti.go.jp/policy/netsecurity/wg1/wg1.html CSIRT定義・運用 IPA 中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/security/guide/sme/about.html CSIRT運用 金融庁 ｢事業等のリスク｣の開示 https://www.fsa.go.jp/news/r2/singi/20210416/03.pdf BCP、運用見直し 金融庁 ｢事業等のリスク｣の開示例 https://www.fsa.go.jp/news/r4/singi/20230324/06.pdf BCP、運用見直し 13

14. （一人で）CSIRTを作るときの心構え ―――「前向きな気持ち」 • 「少しづつ確実に定義・手順作成・検証をするぞい」 • さすがに全部を一気に作るのは無理ﾎﾟﾖ… ※とはいえ気分がノッているうちにイケるとこまで進めておきたい • 「手順の管理・更新は”利用サービスの仕様更新”等の外的タイミングを利用するぞい」 •

    恒常的な管理・更新等のメンテも実際難しい… • 念のため3カ月～6カ月ぐらいの頻度で、クリティカルな部分の挙動は確認しておきたい • クリティカル：認証・インフラ系、例えば MS AD/Microsoft Entra ID/Google Workspace/AWS • 「直近の出来上がりが10%～20%でも、”いざというとき”に迷う箇所を減らす努力をするぞい」 • 迷う時間が減る・すぐに使えるものがある → つまり「復旧アクションまでの時間短縮」に繋がる 14

15. オレオレCSIRTで作ると決めたもの（一部） 分類 概要 ざっくり内容 ドキュメント CSIRT設置・運用規定 用語定義、CSIRTの設置・目的・構成・活動内容の定義 等 ドキュメント 対応体制規定

    CSIRTの構成範囲の定義、役割・人員の定義 等 ドキュメント インシデント対応ポリシー インシデント対応の基本方針定義、インシデントの分類基準、重大度レベルの定義 等 ドキュメント インシデント報告・通報基準 報告区分（初報・社内第一報、外部報告 等）や報告先、報告内容の定義、重大度レベルに応じた報告タイミングや判断基準定義等 ドキュメント 内部_インシデント報告・通報先一覧 一般従業員の報告先、CSIRTの報告先 等の一覧および報告対象のインシデント例、合わせて報告内容のテンプレート ドキュメント 外部_インシデント報告・通報先一覧 警察、個人情報委員会、JPCERT/CC、IPA、監督省庁 等外部の連絡先一覧および連絡基準 ドキュメント 汎用インシデント対応手順書 保全手順、簡易調査項目、調査コマンドリスト、端末・ネットワークの隔離および監視環境の構築 等 ドキュメント ランサムウェア対応手順書 重要アカウント・サーバに関する調査項目および調査コマンドリスト 等 ドキュメント クラウド基盤調査手順書 クラウドサービスごとの保全手順、各種停止手順、簡易調査項目および調査コマンドリスト 等 ドキュメント AWS EC2サーバ調査手順書 AWS EC2の保全手順、簡易調査項目および調査コマンドリスト等 ドキュメント 復旧対応ポリシー 復旧対応の基本方針、復旧判断の基準、復旧優先度の定義、復旧後対応の定義 等 ドキュメント 復旧対応手順書 通常利用端末、各種サーバおよびネットワークの復旧（再構築）手順書 ドキュメント インシデント報告書テンプレート 発生日/検知・発覚日時/検知手段/対象システム・端末/影響範囲 等の項目および記入例 ツール/環境 Windows保全ツール FTK Imager, 法的対応を見据える場合は保全後即座に警察へ連絡 ツール/環境 ログ/保全データの簡易・クイック分析環境 Windows/SOF-ELK/Kali Linux Purple + インシデント対応調査用の各種ツール ツール/環境 ビジネス環境自動構築システム BCP用の業務復旧システム。Ansibleだとかを使ったりして、雰囲気だけなんかすごそう感あるやつ 15

16. 個人的ポイント 分類 概要 ざっくり内容 ドキュメント CSIRT設置・運用規定 用語定義、CSIRTの設置・目的・構成・活動内容の定義 等 ドキュメント 対応体制規定

    CSIRTの構成範囲の定義、役割・人員の定義 等 ドキュメント インシデント対応ポリシー インシデント対応の基本方針定義、インシデントの分類基準、重大度レベルの定義 等 ドキュメント インシデント報告・通報基準 報告区分（初報・社内第一報、外部報告 等）や報告先、報告内容の定義、重大度レベルに応じた報告タイミングや判断基準定義等 ドキュメント 内部_インシデント報告・通報先一覧 一般従業員の報告先、CSIRTの報告先 等の一覧および報告対象のインシデント例、合わせて報告内容のテンプレート ドキュメント 外部_インシデント報告・通報先一覧 警察、個人情報委員会、JPCERT/CC、IPA、監督省庁 等外部連絡先一覧および連絡基準 等 ドキュメント 汎用インシデント対応手順書 保全手順、簡易調査項目、調査コマンドリスト、端末・ネットワークの隔離および監視環境の構築 等 ドキュメント ランサムウェア対応手順書 重要アカウント・サーバに関する調査項目および調査コマンドリスト 等 ドキュメント クラウド基盤調査手順書 クラウドサービスごとの保全手順、各種停止手順、簡易調査項目および調査コマンドリスト 等 ドキュメント AWS EC2サーバ調査手順書 AWS EC2の保全手順、簡易調査項目および調査コマンドリスト等 ドキュメント 復旧対応ポリシー 復旧対応の基本方針、復旧判断の基準、復旧優先度の定義、復旧後対応の定義 等 ドキュメント 復旧対応手順書 通常利用端末、各種サーバおよびネットワークの復旧（再構築）手順書 ドキュメント インシデント報告書テンプレート 発生日/検知・発覚日時/検知手段/対象システム・端末/影響範囲 等の項目および記入例 ツール/環境 Windows保全ツール FTK Imager, 法的対応を見据える場合は保全後即座に警察へ連絡 ツール/環境 ログ/保全データの簡易・クイック分析環境 Windows/SOF-ELK/Kali Linux Purple + インシデント対応調査用の各種ツール ツール/環境 ビジネス環境自動構築システム BCP用の業務復旧システム。Ansibleだとかを使ったりして、雰囲気だけなんかすごそう感あるやつ 16 ビジネス観点 RTO, RPO, RLO も適当に設定 IR観点 IR観点 Xまで内部、Y～は JPCERT/CCに依頼、とか

17. （続）インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは？ A. オレオレCSIRTで作ると決めたもの 17

18. （続）インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは？ 18 A. オレオレCSIRTで作ると決めたもの

19. （続）インシデントレスポンス”完全に理解した” 事前に準備できる or 自社でやった方が手っ取り早いことは？ A. 詳細調査（ベンダ側の専売特許部分）以外 19

20. じゃけん、AI氏と一緒に 頑張りましょうね～ 20

21. 現時点でAI氏にご助力いただいたこと 1. 一般的なCSIRTに関する「参考文献」の第一次リストアップ • 自定義に沿うドキュメント、特にBCP関連は部分的に頼ったり自分で探したり 2. 必要と考えられるドキュメントのリストアップ 3. すべてのドキュメントのひな型作成（Markdownファイル） •

    定義の文章案 → 「枠組み作成サンクス。もうちょい詳細に書いてくんない？」をそれぞれの ドキュメントに対して2回ぐらい指示 • 基本項目の枠 → 一度出力してもらったものに適宜追加 4. 調査手順ファイルの大枠とたたき台の作成（Markdownファイル） • 具体的な内容は頭に入っているが、たたき台を書くのもお任せしてしまう 21

22. AI氏にご助力いただいたこと - サンプル 22

23. インシデント対応経験を踏まえて 作ったもの/これから作るもの • 作った：資産・業務利用サービス・認証方法管理ファイル • 作り途中：汎用対応手順書の詳細（効率重視） • 目標：各対応の自動化ツール - ログの取得→解析→レポート化まで（いきますよ！AIさん！）

    • フォーカス：”認証系”の「保全・隔離/停止・代替・調査・分析・復旧」部分 …中小企業規模ではやりすぎかも… ※ TI関連とかDetection Engineeringは規模的に「趣味の範疇」なので 入れていない（やらないとは言ってない） 23

24. インシデント対応経験を踏まえて作ったもの - サンプル • 資産・業務利用サービス・認証方法管理ファイル（たたき台として個人で作ったやつ） →もっと良い管理方法はあると思う。DBで管理するとか →中小（少数）規模なのでいったんこれで • 汎用対応手順書の詳細は 24

25. 完成度10～20%！ https://100-dream.jp/archives/11749 ま、ないよりはええやろ 25

26. まとめ CSIRTの定義・責任範囲・サービスは企業によってさまざま。自社に合う形で定義しよう • オレオレ定義は「自社のビジネス・利益を守るチーム/組織」なので、BCPも範囲内 • 中小は 兎にも角にも BCP これを無くして 明日の金策無し

    字余り ～中小の一人CSIRT 心からの一句～ 最初が10%～20%でも、”存在していること”（作ってあること）が正義 • インシデント発生時に10%～20％部分をスキップできるのは、ビジネス復旧観点で十分に大きい • 時間短縮は結果として「サービス提供可能時間の長化」になるため、「企業/サービスへの信頼」に繋がる（と信じている） AI氏は大いに頼ろう • 定義を整理したのちの、ドキュメント作成やらさまざまなタスク（退屈なこと）はAIにやらせよう • プロンプティングだけ頑張って、あとは外部を”適切に”頼るのも、アリ寄りのアリ 26

27. ありがとう ございました 27