CSIRTなどセキュリティチームの活動は、チーム内はもちろん、周囲にもその実績を評価してもらうことが将来につながる。この点でクラインマン氏は、“オフィシャル”と“アンオフィシャル”の2つの方法があると話す。
“オフィシャル”な評価とは、取締役会や経営管理部門などへの定期レポートといった実績報告だ。クラインマン氏も税務局の上層部に対し、情報システムのセキュリティ状況について年1回のレポート、インシデント対応については毎月のレポートを提出していたという。
「年次のレポートは、数ページ程度のシンプルな内容にまとめていました。25のシステムで実施するセキュリティ検査から見つかった脆弱性について件数や内容などを危険度別にまとめたり、例えば、修正作業に要するコストを内製と外注で試算し、比較した結果を示したりしています」
インシデント対応のレポートでは、インシデントの件数をカテゴリ別に示すほか、内容を深刻度で分類して、特に危険性の極めて高いケースは連邦政府にも義務として報告するという。また、2014年に発覚した「Heartbleed」の脆弱性(OpenSSLの深刻な脆弱性の通称)のように、世界的にも大きな影響を与えるセキュリティ問題については、政府省庁に緊急対応を要請することもあったという。
一方の“アンオフィシャル”な評価とは、チームメンバーの活躍を認めるというもの。クラインマン氏のチームからメンバーの有志が世界的なセキュリティ競技会の「Global Cyberlympics」に参戦。CTF(Capture The Flag)と呼ばれる攻防戦形式で競い、大陸別予選を勝ち抜いて、決勝大会に何度も進出している。
「本来の業務とは異なりますが、世界のセキュリティエキスパートと競い合い、その活躍が表彰されることはメンバーにとって励みになります。同時にトレーニングの機会にもなるので一石二鳥ですね」
また、税務局内でもさまざまな部門の活動を表彰する制度があり、CIOがセキュリティチームの貢献を大きく評価した。その際に授与されたトロフィーは、現在のチームの励みになっているという。現在では税務局のセキュリティチームが他の政府機関に対してシステムのセキュリティ評価業務をサービスとして手掛けるなど、チームとしての能力が外部組織にも認められているという。
クラインマン氏は、「セキュリティの仕事は非常に大変でもあり、メンバーの活動を周囲も認めることが最も大切です。同時に、この仕事はとても挑戦のしがいがあり、メンバーも周囲も価値を感じられるようにしていくものであるべきでしょう」と話す。
Copyright © ITmedia, Inc. All Rights Reserved.