書評 - CSIRT 構築から運用まで

SREチームとしてプロダクト横断的な仕事が増えるに従って、CSIRTを参考にしようと思って手にとった本の一冊です。

TL;DR

NTT関連会社に勤めるセキュリティ関係者が書いた本です。他の方のレビューにもありましたが、教科書的な印象があります。

セキュリティインシデントの分類はありがたいのですが、やや古い上に粒度が揃っていない印象を受けました。

2021年現在、JPCERT/CCの分類で用いられているのは以下の7種類です。

しかし、分類方法に攻撃手法と攻撃対象の2軸があることが気になります。また、エディタやライブラリの汚染、SaaSの脆弱性によるトークンの窃取などをどこに分類するか（マルウェアサイト？）も疑問が残ると思いました。オンプレで開発・運用が完結する業界ならこれでいいのかもしれません。

スタートアップの規模でゼロデイや日本初の脆弱性を突かれるケース、あるいはフィッシングサイトを作られるケースは多くないのかな？と考えています。

（もっとも、暗号資産の取引所はガンガン攻撃されていそうですが）

特にフィッシングサイトが海外に建てられているようなケースは、言われてみればどうやって対応するのか分かりませんでした。本書を読み、フィッシング対策協議会やJPCERT/CCに相談して停止を調整すればいいことが分かりました。

セキュリティインシデント発生時の組織内でのシーケンス図が載っており、対応の実感がわきました。

2016年の本にも拘らずランサムウェア感染時のケーススタディが載っているのは先進的かもしれないです。

それまではセキュリティインシデント発生時の対応といっても（アプリケーションチームが主役なのでは？）という感じでしたが、たしかに脆弱性やアクセスログの横串調査は誰かが旗を振らないと難しいな、と思った次第です。

やや古い感はありましたが、特に対外組織との連携など会社の規模が大きくなったときに発生するプロセスを知ることができたので良かったです。