SREチームとしてプロダクト横断的な仕事が増えるに従って、CSIRTを参考にしようと思って手にとった本の一冊です。

CSIRT

• 作者:日本シーサート協議会
• ＮＴＴ出版

Amazon

TL;DR

• どちらかというと大企業の役員・部長クラス向けに書かれている本
• 運用における対外連携は規模に関わらずあり得る、参考になった
• ケーススタディが具体的で参考になった。もっとあっても良い

本書について

NTT関連会社に勤めるセキュリティ関係者が書いた本です。他の方のレビューにもありましたが、教科書的な印象があります。

セキュリティインシデントの分類はありがたいのですが、やや古い上に粒度が揃っていない印象を受けました。

2021年現在、JPCERT/CCの分類で用いられているのは以下の7種類です。

• フィッシングサイト
• Webサイト改ざん
• マルウェアサイト
• スキャン
• DoS/DDoS
• 制御システム関連インシデント
• 標的型攻撃
• その他

しかし、分類方法に攻撃手法と攻撃対象の2軸があることが気になります。また、エディタやライブラリの汚染、SaaSの脆弱性によるトークンの窃取などをどこに分類するか（マルウェアサイト？）も疑問が残ると思いました。オンプレで開発・運用が完結する業界ならこれでいいのかもしれません。

インシデント発生時の対外連携

スタートアップの規模でゼロデイや日本初の脆弱性を突かれるケース、あるいはフィッシングサイトを作られるケースは多くないのかな？と考えています。

（もっとも、暗号資産の取引所はガンガン攻撃されていそうですが）

特にフィッシングサイトが海外に建てられているようなケースは、言われてみればどうやって対応するのか分かりませんでした。本書を読み、フィッシング対策協議会やJPCERT/CCに相談して停止を調整すればいいことが分かりました。

ケーススタディ

セキュリティインシデント発生時の組織内でのシーケンス図が載っており、対応の実感がわきました。

2016年の本にも拘らずランサムウェア感染時のケーススタディが載っているのは先進的かもしれないです。

それまではセキュリティインシデント発生時の対応といっても（アプリケーションチームが主役なのでは？）という感じでしたが、たしかに脆弱性やアクセスログの横串調査は誰かが旗を振らないと難しいな、と思った次第です。

まとめ

やや古い感はありましたが、特に対外組織との連携など会社の規模が大きくなったときに発生するプロセスを知ることができたので良かったです。