ニュース
» 2020年09月09日 07時00分 公開

「CSIRT」という言葉は忘れよう 研究家が語る理想のインシデント対応体制とは(1/2 ページ)

CSIRTを立ち上げる際、適切なインシデント対応ができない“名ばかりCSIRT”にしないためにはどうすればよいのだろうか。日本シーサート協議会の専門委員かつCSIRT研究家の山賀正人氏に、有効に機能するCSIRTの条件を聞いた。

[宮田健,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 「サイバーセキュリティ経営ガイドラインのVer.1.0が発表されたとき、CSIRT構築に関する記述を無邪気に喜んでしまった。今思うと、それが良くなかったのかも」

日本シーサート協議会 専門委員の山賀正人氏

 そうつぶやいたのは「日本シーサート協議会」の専門委員である山賀正人氏だ。“CSIRT研究家”の肩書も持つ同氏は、CSIRTの現状やどのように考えているのだろうか。

 今回、山賀氏には日本シーサート協議会の専門委員としてではなく、一人のCSIRT研究家として、CSIRTの本来あるべき姿を率直に語ってもらった。CSIRTがバズワードとなり、あるべき姿から乖離(かいり)した結果、いかに“手の届かないもの”となっているか。どうすれば、CSIRT本来の働きを取り戻せるのかを聞いた。

“CSIRT”という言葉を一度忘れよう 組織構築をゴールにしない

 山賀氏は、現状の企業のCSIRT運用について「CSIRTという言葉は一度忘れた方がいい」と指摘する。

 この発言の意図は、経済産業省(以下、経産省)による「サイバーセキュリティ経営ガイドラインVer1.0」の公開(2015年12月)が関係してくる。同レポートがきっかけで、CSIRTが広く経営者の注目を集めるようになったのは、前記事の通りだ。このレポートは、CSIRTの“構築”に焦点が当てられていたため、実際には機能していない“名ばかりCSIRT”や、CSIRTの構築がゴールになるという課題が挙がったことも説明した。

 レポートが公開されたとき、山賀氏は「CSIRTという言葉が重要10項目の中に大きく取り上げられて、無邪気に喜んでしまった」という。

 「経営者がサイバーセキュリティ経営ガイドラインを読んだ結果、『とにかくCSIRTを作れ』という時流になってしまった。確かにCSIRTを設置した企業こそ増えたが、そこに“魂”はあったのだろうか」(山賀氏)

 経産省により2017年に公開された「サイバーセキュリティ経営ガイドラインVer2.0」は、CSIRTの目的が「対応や検知、復旧」と明確になった。山賀氏は「最初からこのように記載されていれば良かった」と振り返る。

企業ごとに異なる“あるべき姿” 種子は既に存在しているはず

 CSIRTは、画一的なテンプレートを組織構築に適用できない。なぜなら、各企業の組織構成によって、インシデントにおける「対応や検知、復旧」の実現方法は異なるからだ。だがいずれにせよ、こうしたインシデント対応において、総務や情報システム部、社長室など複数の組織間の社内調整は必要不可欠だ。CSIRTが、社内を横断するバーチャルな組織構成を採る場合があるのは、こうした理由によるものだろう。

 社内調整が発生するという特徴により、企業の中には「CSIRTはご大層なもの」という誤った印象を持つところもあるが、CSIRTという言葉を一度“自社のインシデント対応体制”に置き換えてみると、構築のイメージがしやすくなるだろう。

 「今の時代にインシデントに対応する体制が全く何もない企業はありえない。明文化されていなくても、例えば『マルウェアの感染が見つかった場合は、○○という部署の△△担当が対応する』といったように、何らかの体制や方針があるはずである。こうした対応を実行に移す“旗振り役”のことをCSIRTと呼べばいい」(山賀氏)

 旗振り役にはインシデント対応時に情報を調整し、必要な部署に必要なリソースを滞りなく流せるように、組織内をスムーズに動かすことが求められる。旗振り役をどこに置くべきかは、企業の業界や風土に大きく依存するため、発言力が高く、権限を持つ部署が適切だ。

 例えばメーカーは、歴史的に品質保証部門の発言権が強い。危機管理の知識を必要と考えるなら、総務部に旗振り役を設置するのが適切な場合もある。企業組織を俯瞰(ふかん)し横串で情報連携できる部署に旗振り役を置き、そこを中心にCSIRTを構築していくのだ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ