続・企業CSIRTの最前線〜先輩チームに学ぶ〜

急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点続・企業CSIRTの最前線(1/3 ページ)

企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。

» 2016年11月21日 10時00分 公開
[國谷武史ITmedia]

 セキュリティ上の問題に対応するため、企業では「CSIRT」(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)を設立する動きが広まっている。日本のCSIRTコミュニティー「日本シーサート協議会」(NCA)に参加するCSIRTは2016年11月1日現在で189チームと、2015年末時点から83チーム増加した。

※CSIRTは必ずしも部署などの形態をとるものではないため、一般的には「チーム」と表現される。

 CSIRTは「百社百様」と表現されるほど、実は決まった形があるわけではなく、企業によってその活動実態は全く異なる。特に新興CSIRTは運営方法や人材育成といった多くの課題に直面するが、それらに対する決まった答えもないため、他社の取り組みを参考にしたり、担当者同士で相談したりしながら、自社での課題を解決する方法を日々模索しているようだ。本稿ではNCAの取り組みから、企業がCSIRTの活動を推進していくにあたって押さえておきたいポイントをまとめてみたい。

“顔が見える”

 多くの企業がCSIRTを設立する背景には、経営や事業に大きな影響を与えかねないセキュリティ事件・事故の危険性が高まっているためだ。これまでウイルス対策のようなITセキュリティの取り組みはIT部門を中心に進められてきたが、経営や事業レベルでセキュリティを強化していくには、IT部門以外の経営管理部門や事業部門の関与が欠かせない。

 企業CSIRTの多くは、「自社のセキュリティを強化する」といった目的で設立されるケースが多いようだ。ただし“自社”とはいっても、その範囲は会社の内部から顧客や取引先なども含めた経営環境までと幅広い。CSIRTの実態が「百社百様」と表現されるのは、その企業にとってセキュリティを強化すべき目的や範囲、内容が全く異なるためである。

 例えば、製品やサービスなど外部に提供する商品のセキュリティを強化するという目的のCSIRTなら、開発や品質管理、サポートといった部門の担当者が中心メンバーとなり、場合によっては広報やリスク管理といった部門の担当者も参加して活動する。企業によっては、このような役割と社内向けのセキュリティの役割を別々のCSIRTが担ったり、逆に1つのCSIRTで担ったりする。また、経営環境や事業環境の変化に合わせてCSIRTを途中で1つに統合することもあり得る。

 このように、CSIRTの成り立ちやその後の変化は企業ごとに全く異なるが、そもそもCSIRTには“ゴール”や“完成形”という概念自体がないとされる。端的に言えば、CSIRTは「セキュリティを高める」という“機能”や“役割”であり、これらを満たす環境が既にあるなら、わざわざCSIRTと名乗る必要もないという。

 しかしCSIRT活動に携わる担当者の多くは、「CSIRTなら顔が見えることが大切」と語る。その理由は、CSIRTが“チーム”という活動であるためだ。当然ながらどんな企業にもセキュリティの課題は必ず存在し、単独で解決できない課題に対しては、協力しながら解決を目指すことが近道になる。「協力=チーム」としてセキュリティに取り組むなら、チームに関わる人の顔が見えないと難しい。

例えば、個人情報の管理について事業担当者が「だれに相談したら……」と悩み、あるサービスの利用者が「セキュリティ上の問題をメーカーのどこに知らせれば……」と悩むこともあるが、こうした悩みの解決には協力が必要であり、“チーム”として対応する機能がCSIRTの特徴の1つでもある。

 また、CSIRTの目的や形態、活動内容がどのようなものであっても、最低限必要だとされるのが「PoC」(Point of Contact)と言われる連絡先窓口だ。セキュリティに関する連絡先(担当部署など)と連絡方法(メールや電話など)を企業の内外から分かるようにする。また、連絡を受けるだけでなく、受け取った連絡内容について関係部署や担当者につないで対応をうながす(コーディネーション)役割もある。

 PoCを持つことはCSIRTの必要条件だが、それ以外の活動目的や内容、範囲、必要な人材、スキル、メンバー体制といったCSIRTの“中身”は企業ごとに異なるし、必ずしも自社で全て備えるべきものでもない。CSIRT活動における重要な視点の1つは、やはり“チーム”であり、この“チーム”が社内に限定されるわけでもない。

 近年は、業種・業界などでセキュリティに関する企業の垣根を越えた連携体制をつくる動きも生まれ、まさしく大きな“チーム”としてセキュリティに取り組む環境が出てきている。CSIRTコミュニティーのNCAの場合、「業種や規模を問わずさまざまな企業に共通するセキュリティの課題にCSIRTが連携して取り組むためのコミュニケーションの場」(副運営委員長の萩原健太氏)としての役割があるという。

日本シーサート協議会における加盟チームへの支援の取り組み(日本シーサート協議会のWebサイトより)
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ