組織の階層で異なる「セキュリティ」への考え方 インシデントに対応する組織間の問題：セキュリティ担当者の独り言（1/2 ページ）

多くの企業がセキュリティインシデントを「企業の存続に関わる組織的な課題」として捉えている。これは、ひと昔前と比べれば大きな進歩といえるかもしれない。しかし「組織全体での対応」において実務に当たる現場の人間から見れば、まだまだ改善すべき点は多く……

[伊藤聡司，ITmedia]

　セキュリティインシデントには、組織全体で対応するべきだ――「スリーラインディフェンス」や「組織の階層化」「役割のサイロ化」などの考え方は、多くの企業がセキュリティ対応を組織的な課題として捉えていることが分かる。しかし、発生事象の共有時において正確性を優先するとスピードが落ちるなど、トレードオフの要素にいかに優先順位を付けるかは事例や組織によって異なり、その都度判断が求められる。

「組織全体で対応」には、実務者ならではのジレンマも……

　組織が大きくなれば、各自の役割によって「セキュリティ対応」の判断基準が異なり、スムーズな連携が難しくなる場合もある。いわゆる「こじれる」という事態だ。事態がこじれた経験を持つセキュリティ担当者は多いだろう。筆者もその一人だ。こじれた背景を考えると、そこには示唆があることに気が付いた。

セキュリティインシデント対応の理想と現実

　セキュリティインシデントを予防する契機として「外部組織からの情報提供／警告／指摘」や「実際のインシデント事例を基にした悉皆（しっかい）点検」などがある。多くの関係者がこれらの対応に工数を割いた経験をお持ちだろう。実際にこれらの対応は「致命的な脆弱（ぜいじゃく）性の周知」「放置されている脆弱性の指摘」「悪意のある攻撃の流行」など、対応を誤れば大事件に発展することもあるため、決しておろそかにできない。

　セキュリティに関わる共有事項や事例の情報提供元は、政府やセキュリティ専門機関、ベンダーなど多岐にわたる。情報提供には急な対応を要する「注意喚起」が多い。そのため情報を入手した関係者は、入手した情報を精査して関係各所に急いで共有する必要がある。この場合の「共有」は単なる「お知らせ」ではない。調査と結果報告がセットとなった「指示」である。

　注意喚起を「点検通達」という言葉に置き換えると「発信する側」と「受信する側」で立場が分かれる。異なった立場や考え方に基づいた「セキュリティ対応」には、どうしても理想と現実のギャップが生じてしまうものだ。今回は、この理想と現実の差について筆者の独り言を述べたい。

よくある「セキュリティ対応」2パターン、あなたの組織は？

　ここでは「政府機関などから来た注意喚起を組織のセキュリティ担当部署（CSIRTなど）が受け取り、関係部署に点検報告を依頼した場合」に起きる、立場の違いによる受け取り方の差について、筆者が「セキュリティ対応」としてよく耳にする２パターンのケースを示す。なお、どちらが正しいか、間違っているかという結論は出せない。

（いらすとや様に感謝）

　念のために繰り返すが、これらのケースにおいてどちらが正しいか、間違っているかは決められない。それを了承いただいた上で、読者の組織においても「ケースA」「ケースB」どちらも経験したことがあるのではないだろうか。通達の発信者と受信者は相反する立場にあるため、基本的にお互いの主張は折り合わない。しかし、これらのケースの差が生じる背景を双方の事情の両面から考えることが重要なのだ。