急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点：続・企業CSIRTの最前線（2/3 ページ）

[國谷武史，ITmedia]

“バーチャル”と“リアル”なCSIRTの活動

　CSIRTには、「セキュリティに取り組むチーム」としての特徴と並んで「バーチャル」という特徴を持つケースもある。ここでいう「バーチャル」とは、部門横断型の“仮想チーム”として活動するという点で、CSIRTを専門部署として設置するケースもあるが、日本ではバーチャルチームとして設置されるケースが多い。”

　前述のように、CSIRTには“完成形”という概念がないため、組織体制図のような形に定義することが難しいとされる。また、さまざまなセキュリティ課題に取り組む上では組織体制のような枠組みにしばられると、十分な活動に臨めないというケースもあるようだ。

　一方で最近は、「バーチャル」であるがゆえに周囲からCSIRTの存在や活動を認識してもらいにくいといったケースもあり、セキュリティポリシーのような枠組みでCSIRTの存在や目的、活動内容などを定義し、日々の活動に制約がでないよう工夫しながらCSIRTの位置付けを明確にする取り組みが広がっている。中には「○○の検討では通常メンバーに加えてXX部のメンバーが参加する」というように、想定される事案ごとに活動内容を定義しているところもあるようだ。

　CSIRTの活動では、バーチャルという特性で柔軟性や機動性を確保しつつ、「顔の見えるチーム」として、どう連携していくかもポイントになるだろう。例えば、NCAは2016年に中部や関西、九州で地区活動をスタートさせた。

　地区活動では、その地域に拠点がある企業などのCSIRTが集まり、地域におけるセキュリティ課題の検討のほか、JPCERT コーディネーションセンターの協力を得てインシデントや脆弱性のハンドリングなどを学ぶワークショップなどを実施しているという。地区活動は、NCAの参加チームが増加しても、“顔が見える”CSIRTのコミュニティーとしての場を維持する狙いもあるためだ。

　サイバーセキュリティの脅威には、現実社会の事故や犯罪とは異なり、国境や地域といった概念がないとよく言われる。しかし、情報漏えいなどの被害は現実社会で発生し、それに対応するのも現実社会の企業や組織だ。そのため、現実社会の事故や犯罪に地域の警察や消防、自治体、企業などが連携して対応してきたように、サイバーセキュリティでもCSIRTが地域と連携して活動できるようにすることが重要になるという。

　地域には独自の商慣習や文化があり、また、経済情勢も東京など大都市とは異なる場合もある。東京を中心とした対応が難しい場合でも、地域としてCSIRT同士のつながりがあれば、いざという時に近くにいる仲間にも相談しやすい。こうした“顔の見える”CSIRTのつながりを広げることもNCAの取り組みだという。

　また、NCAでは参加チームによる自主的な活動も広がっている。例えば、人材に関する取り組みではユーザー企業（非IT業種）のCSIRTメンバーを中心に、サイバー演習やログ分析をテーマとするワーキンググループ（WG）が立ち上がった。「従来のWGに収まらない課題についてメンバーが新たなWGを自主的に立ち上げて運営していくように、NCAはCSIRTがお互いに協力してできることをやってみようという場となっています」（副運営委員長の乾奈津子氏）