CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス：企業CSIRTの最前線（2/3 ページ）

[國谷武史，ITmedia]

当社のCSIRTは何するのか？

　前項で村上氏が挙げたポイントは、CSIRTマテリアルの「構想フェーズ」にあたる部分です。つまり、「なぜ企業CSIRTをつくるのか？」という基本的な定義が固まっていなければ、必要な人員や設備といった検討にも入れません。

　この定義を考える作業は、簡単なようであり、最も難しいフェーズかもしれません。逆に、定義がしっかりあれば、本当の意味で機能する企業CSIRTを作っていけるとも言えます。

　例えば、新たな情報システムの導入を考える場合は、まず「なぜそのシステムを導入するのか？」「そのシステムはどうあるべきか」「そのために必要な機能は何か？」といった要件定義を“ほぼ”必ず行でしょう。要件定義が固まらないままシステム作りを進めてしまうと、開発途中で変更や出戻りが多発したり、カットオーバーしても「使い物にならん！」とクレームが来てしまったりということが往々にしてあります。

　村上氏は、企業CSIRTを考える場合でもシステム導入で要件定義から入っていくのと同じだと解説します。「なぜCSIRTが必要なのか？」といった目的、その目的を達成する上で現在の社内外の状況が満たしているもの／満たしていないもの、満たすために必要な部分や作業といった点を洗い出すことで、ようやく自社のCSIRTにおける要件が見えてきます。

安全を守っていくCSIRTの基本的な役割（CSIRTマテリアルより）

　前項の会話にあてはめると、CSIRT設置を指示した社長は、サイバー攻撃を経営リスクの1つと認識していることがうかがえます。サイバー攻撃によって経営が脅かされるということとは、具体的に何か――村上氏によれば、ここでは大きく「顧客や取引先など外部の関係者」「社内」の2つの視点があり、それぞれの視点において、現状の社内体制や規定、ルール、プロセスなどがリスクに対応できるものになっているのか、欠けている部分があればそれを補うために何をすべきかを考えていきます。

　仮に、「サイバー攻撃によって顧客の大切な情報が流出したら、顧客への直接的な被害を補償することを含めたコストは発生し、自社への信頼も揺らいで事業が立ち行かなくなる」とすれば、サイバー攻撃を未然に防ぐ方法を強化するのか、攻撃されても被害を可能な限り生じさせない方法を新たに作るのか、といったサイバー攻撃への対応方針がみえてくるでしょう。前者の方針なら、現状でシステムを担うIT部門が中心的な役割になるかもしれません。後者なら、IT部門だけでなく、業務部門や管理部門、経営層も巻き込んだ全社横断型の対応が必要です。

インシデントを火事に例えると、その対応におけるCSIRTの役割は「消防署」や「消防団」に似ている（CSIRTマテリアルより）

　実はCSIRTに求められるものは、この方針によって全く異なってきます。さまざまな企業CSIRTが参加する日本シーサート協議会のWebサイトでは加盟社のCSIRTがどのような目的、役割を担っているのかが紹介されています。これを見て「うちも同じようにすれば……」というのは早計です。上述のように、他社と似た事業環境であっても認識しているリスクやその対応状況は千差万別であり、自社を取り巻く環境や内部・周辺の状況を踏まえた独自のCSIRTをつくっているといえます。

　CSIRTの役割をどう定義するかは、「平時のセキュリティ対策が適切に機能している」と認識している企業なら万一のインシデント発生時に対応する機能として整備していくかもしれません。「平時の対策すら非常に危ない……」と認識している場合なら、インシデント時も含めた幅広い機能を担うことになるでしょう。

　いずれにしても、CSIRTの必要性を感じているということは、その企業にとって何らかの経営課題を抱え、その解決や改善に向けたアクションをしなければならない状況にあると言えます。村上氏は、「まずはCSIRTをつくる（つくった）ことを宣言してください」とアドバイスしています。宣言をするなら、当然ですが目的が不可欠ですし、アクションにつなげるため協力を得るために、CSIRTの存在を知ってもらう必要があります。

　JPCERT/CCのCSIRTマテリアルは、米国の国立標準技術研究所（NIST）や国土安全保障省が所管するCSIRT機関のUS-SIRTのドキュメントをベースに作成されています。しかし、米国のドキュメントは企業や組織に最高セキュリティ責任者（CSOやCISOと呼ばれる）を中心とした体制があることを前提にしているため、JPCERT/CCでは日本の組織環境を考慮した内容を加味して、日本の企業がCSIRTをどのように検討していけばよいかを解説しています。