CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス：企業CSIRTの最前線（1/3 ページ）

「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。

[國谷武史，ITmedia]

　いま、ちょっとセキュリティ意識の高い（と思っている？）企業のIT部門などで、こんな会話が交わされてはいないでしょうか。どこに注意すべきでしょうか。

---

IT部長　「さっきの経営会議で社長から、『シーサート（CSIRT）を検討してくれないか』と言われたよ」

A課長　「シーサートって、セキュリティで最近よく聞きますね。サイバー攻撃とかに対応するとか……」

IT部長　「そうなんだけどさ。君、やってよ！」

A課長　「えっ……。分かりました。いつもはBさんがセキュリティを担当していますけど、ほかに何人必要ですかね？」

---

　社長は、どこかの会合でライバル会社がCSIRTを設立したと聞いて、自社での構築を検討するようIT部長に指示したようです。IT部ではA課長が所管するシステム運用チームのBさんを含む2人が、ファイアウォールやウイルス対策ソフトなどの運用管理を担当しています。また、IT部門とは別に、社内の「情報セキュリティ委員会」がセキュリティに関する規定やルールの管理、eラーニングの社員研修などを担当しています。さらに「CSIRTを作る」というのですが、いったい何が必要でしょうか。

スペック決めれば作れるの？

　2014年は教育関連サービス企業での内部不正による情報漏えい、2015年は日本年金機構へのサイバー攻撃による情報漏えいといった大規模な情報セキュリティ事件が発生しています。2015年1月には「サイバーセキュリティ基本法」が全面的に施行されたこともあり、企業トップのレベルでもセキュリティ事故（セキュリティインシデント）を前提にした対応の必要性が徐々に認識されつつあるようです。

JPCERT コーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長の村上晃氏

　上記の会話で社長は、セキュリティインシデントに対応する1つの方法が「CSIRTだ！」と考えましたが、現場側には既にさまざまなセキュリティ担当組織があり、それに加えてCSIRTをつくらなければなりません。CSIRTの検討で注意すべきポイントやインシデント対応の現状について、JPCERT コーディネーションセンター（JPCERT/CC）の経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長の村上晃氏に聞きました。

　JPCERT/CCでは企業CSIRTの設立や運用に関して、参考となるドキュメント「CSIRTマテリアル」を2006年年度から公開しています。村上氏によれば、CSIRTの必要性は10年ほど前から提起されてきました、近年多発する重大インシデントによって、企業側での認識がようやく広まってきました。

「CSIRTマテリアル」では3つのフェーズでCSIRTを整備していくポイントを解説している（CSIRTマテリアルより）

　JPCERT/CCのCSIRTマテリアルでは「構想フェーズ」「構築フェーズ」「運用フェーズ」の3つのステップに分けて、企業CSIRTが機能するまでに必要なポイントを解説しています。ドキュメントに関する企業からの質問や相談も増えているとのことですが、その中では「CSIRTは何人必要ですか？」「どんな設備があれば大丈夫ですか？」といったものが目立ちます。しかしその質問や相談の前に、「大切な大事な視点が欠けてしまいがちです」と村上氏は指摘します。