CSIRTの設置よりも、やるべきことがありませんか？：ハギーのデジタル道しるべ（1/2 ページ）

企業の情報セキュリティを守る存在として注目を浴びる組織、CSIRT。最近その設置について相談を受けるケースが増えているが、そもそもCSIRT設置を検討する前に、社内でやっておくべきセキュリティ対策がある。

[萩原栄幸，ITmedia]

　筆者は金融機関や上場企業、IT企業などに対して、情報セキュリティを主体にしたコンサルティングを主な生業としている（最近ではデジタル遺品関連の作業依頼も多いのだが）。幸いなことに、今までのクライアントからは評価されているようで、「紹介」の形で依頼をいただくことが多い。そのためピンポイントで「サイバー攻撃を受けた」「怪しいメールを職員が開いてしまった」「どうやら内部犯罪が発生したようだ」というような具体的なインシデント発生後の作業依頼が多い。以前は、「我が社の情報セキュリティを３年計画で向上させたい」といった全方位の依頼が8割を占めていたのだが、今ではそういった業務は5割を切っているという状態である。

　個人で依頼を受けているので、作業単価が他の会社に比べ各段に安く、「良かろう、安かろう」という評判が浸透しているのが現実と思うと若干悲しいのであるが……。

　こうした中、最近よく依頼を受ける仕事の内容をキーワードで並べると以下のようになる。

1. サイバーセキュリティ（警察に通報したレベル〜怪しいメール騒動まで様々）
2. CSIRT
3. FinTech
4. ランサムウェア
5. 内部犯罪

　会社の規模は、上場企業から中小企業まで幅広い。

　この中で（程度はさまざまだが）すぐにでも対応する必要があるのは1、4、5で、実際に待ったなしのピンポイント対応が圧倒的に多い。一方、経済効果100兆円以上と言われ、IT企業や金融機関の多くが少なからず利活用を検討している3は、その「緊迫感」が他に比べて低い。では、2のCSIRTはどうかというと、監督官庁からの指摘を受けたのかどうかは不明であるが、2016年から「緊迫感」が急激に高まっている。

CSIRTの設置について相談されることが増えている

　そこで実際に依頼をいただいた企業に出向き、担当役員などと具体的な要望について話を聞いているのだが、どうにも釈然としない点がある。そもそも「CSIRTよりもっと基本的な部分を確実に対応し方がよいのではないか？」と疑いたくなるクライアント企業が３割程度もあるからである。2016年の秋以降に紹介された企業でいうと半数近くに上る。

　こうした企業にCSIRT設置を説くのは、甚だ失礼な言い方をすると、「小学生に微分積分を教える」ようなもので、基本ができていないのに、形だけ公式を覚えて運用しても、すぐに頓挫してしまうリスクが高い。そこで筆者は、こういう企業には別の提案をしている。

　具体的な企業名は書けないが、2016年に実際に遭遇した事案をここで紹介する。以下に挙げるのは、承認をいただき、事前調査として数日間ヒアリングと観察を行った結果である。CSIRTの設置を検討する前に、以下のことができているかを、まずは確認していただきたい。