はじめに

こんにちは、KINTOテクノロジーズCSIRTの森野です。

2023年7月12日(水)～ 14日(金)の3日間、日本シーサート協議会が主催するTRANSITS Workshop 2023 Summerに参加してきました。
TRANSITSとは、CSIRTの設立や運用に関するヨーロッパ発のトレーニングコンテンツです。
今回のワークショップでは、組織、オペレーション、技術、法律の4つのモジュールを学びました。

CSIRTはComputer Security Incident Response Teamの略で、コンピュータセキュリティの事故対応を行うチームを指します。
コンピュータセキュリティの事故とは機密情報の流出、コンピュータシステムへの不正侵入、マルウエア感染などを指します。

組織モジュール

組織モジュールでは、CSIRTの役割や提供するサービス、チームの構成などについて学びました。
また、チームごとにCSIRTメンバや攻撃者などの人格を演じるインシデントシナリオ演習もありました。
この演習では、インシデント対応の流れやコミュニケーションの重要性を体感しました。

オペレーションモジュール

オペレーションモジュールでは、インシデントレスポンスやインシデントハンドリングについて学びました。
インシデントレスポンスはインシデントの解析や封じ込めなどの対処を指し、
インシデントハンドリングはインシデント全体の対応を指します。
また、チームごとにインシデントハンドリングのプロセスについて検討する演習がありました。
この演習では、あらかじめインシデントを想定した対応手順を整えておくことの重要性を学びました。

技術モジュール

技術モジュールでは攻撃者の攻撃手法などについて学びました。
講義の中で、とあるセキュリティベンダで様々な組織で発生したインシデントの解析を携わっている方からお話がありました。
携わったほぼすべてのインシデントは、適切な監視が行われていれば攻撃を検知できたとのことでした。
また、セキュリティの基本として挙げられた下記の言葉も印象に残りました。

• 空けたら閉める
• 使ったら片づける
• 動かしたら管理する

法律モジュール

法律モジュールでは、サイバーセキュリティ関連の法律や規制について学びました。
特に、ログの取得や保存に関する法的な要件や注意点について詳しく説明されました。
また、警察との連携方法やeディスカバリーという制度についても紹介されました。

まとめ

TRANSITS Workshop 2023 Summerは非常に有意義な経験でした。
講義でCSIRT関連の知識やスキルを深められるのはもちろんのこと、演習などを通して他の参加者と交流できた点が特に良かったです。
CSIRTを設立したり運用したりする方にはぜひおすすめしたいワークショップです。