セキュリティ市場・技術専門委員会


平成20年度 報告書


はじめに

 本調査報告書は、セキュリティ市場・技術調査専門委員会が、「組織内CSIRT−組織におけるインシデントレスポンスの実態と課題」に関する調査を行い、その在り方や普及のシナリオ、関連ビジネスについて検討、分析した結果を報告するものである。

 近年、ITに対する攻撃は経済的利益を目的とした犯行へ、特定の組織・企業を狙う手法に変わりつつあるし、企業からの個人情報の漏えいは、企業の信用並びにそのブランドを一瞬にして失墜させる脅威を我々に与えている。現在、このようなインシデント(事故)への対応は、企業の事業継続に関わる主要課題の一つであると考えられている。
 企業の事業継続の一環として、攻撃や情報漏えい等の事故に対応する部門、または部門を横断した対応チームを設け、組織内にインシデント対応機能(CSIRT:Computer Security Incident Response Team)を持つ必要性が高まっている。組織内CSIRT を設けることにより、従来組織内に点在していたインシデントに関する様々な情報を集約することで、インシデントが発生した際に迅速かつ的確な「組織としての意思決定と対応」を行うことが可能となり、被害の最小化及び同様の問題に対する事前策の検討などの効果を期待できる。
 本年度の活動として当委員会は、組織内CSIRTの必要性やその普及のためのシナリオ、またそこにJEITA会員企業にとって、どのようなビジネス展開が期待できるかを明らかにすることを目的として調査を行った。調査内容としては、(1)CSIRTに関する国内外の動向調査、(2)CSIRTを有する企業等の事例調査、(3)企業におけるCSIRT構築・関連サービスのニーズ調査を、各企業のCSIRT担当者や専門家の講演受講、サービス提供企業へのヒアリング、ユーザ企業に対するアンケート調査などを通じて行い、その調査結果を、報告書としてとりまとめた。

 本調査報告書の作成にあたり、視察やアンケートにご協力いただいた企業やご講演いただいた学識経験者の方々、そして当専門委員会の関係の皆様に深く感謝の意を表すとともに、本報告書が関係の方々に活用され、今後のセキュリティビジネスの更なる発展に寄与できれば幸いである。


2009年3月
セキュリティ市場・技術専門委員会
委員長 伊藤 丘


【 セキュリティ市場・技術調査報告書 】 本文
 (PDF:約805KB)

[目次]

はじめに

1. CSIRTの概要・・・・・・・・・・1
 1.1. 最近の脅威の動向・・・・・・・・・・1
 1.2. 背景と目的、CSIRTの定義、効果・・・・・・・・・・3
 1.2.1. CSIRT設立の背景と目的・・・・・・・・・・3
 1.2.2. 組織内CSIRTの定義・・・・・・・・・・5
 1.2.3. 組織内CSIRTの効果・・・・・・・・・・6
 1.3. 国内外の動向・・・・・・・・・・7
 1.4. 組織内CSIRTの事例・・・・・・・・・・8
 1.4.1. 事例1(富士ゼロックス株式会社)・・・・・・・・・・8
 1.4.2. 事例2(沖電気工業株式会社)・・・・・・・・・・10

2. 企業におけるインシデントレスポンスの現状・・・・・・・・・・13
 2.1. アンケート調査結果(委員会、Web調査)・・・・・・・・・・13
 2.2. 回答者の属性・・・・・・・・・・13
 2.3. 企業におけるインシデント対応体制に関する状況・・・・・・・・・・13
 2.4. 企業におけるインシデント対応体制に関するアンケート調査のまとめ・・・・・・・・・・15

3. インシデントレスポンス関連ビジネスの動向・・・・・・・・・・17
 3.1. インシデントレスポンス関連市場の動向・・・・・・・・・・17
 3.1.1. インシデントレスポンス関連市場の概要・・・・・・・・・・17
 3.1.2. ユーザ企業からみたインシデントレスポンス関連サービス・製品の動向・・・・・・・・・・18
 3.1.3. サービス提供者から見たインシデントレスポンス関連市場動向・・・・・・・・・・19
 3.2. 主な関連製品・サービスの内容・・・・・・・・・・20
 3.2.1. 事前対応型・・・・・・・・・・20
 3.2.2. 事後対応型・・・・・・・・・・21
 3.2.3. 品質管理・・・・・・・・・・21

4. CSIRT普及に向けた課題と提言・・・・・・・・・・23
 4.1. CSIRT普及の課題・・・・・・・・・・23
 4.2. CSIRT普及に向けた提言・・・・・・・・・・23




 [ 資料 ]
  情報セキュリティ関係事業リスト (PDF:約800KB)





JEITA 情報・産業社会システム部会

ITセキュリティセンター(ITSC) 《評価・教育》

JEITA HOME

©JEITA, 2008