現場の声から学ぶ CSIRTメンバーに本当に必要なスキルとは？（1/2 ページ）

特集第3回は、CSIRTメンバーの現場の声に着目する。自社のセキュリティ情報の開示はそれだけでリスクになり得る。そのため、今回は匿名でグループ企業をとりまとめるCSIRTメンバーに取材した。“小規模CSIRT”ならではの苦悩とは。

[宮田健，ITmedia]

　本特集は「手の届くCSIRT論」をテーマに、識者や当事者にCSIRTの在り方について話を聞いている。今回は現場の声として、あるグループ企業をとりまとめる“小規模CSIRT”メンバーのA氏（仮名）が、CSIRTの現状を語った。自社のセキュリティ情報の開示はそれだけでリスクになり得るため、匿名を条件に取材許可をもらっている。企業規模に似つかわしくない人数のCSIRTにおいて、どのような苦労や喜びがあったのだろうか。

　今回はCSIRTの現場から、CSIRTが抱える問題や経営層の役割、従業員がCSIRTにできることを考えてみよう。

　なお、本特集の趣旨は、一人CSIRTを推奨するものではない。特集第2回で語ってもらったCSIRT研究家の山賀正人氏が、下記のようにツイートした通り、あくまでCSIRTの立ち上げや運用の初期段階は「一人でも可能」であり、CSIRT構築からして「手の届かないものではない」という点を強調したい。

“一大グループ”のCSIRT、その内訳は……

――所属部署と、CSIRTのメンバー構成を教えてください

A氏：　私自身は、ある企業のシステム部門に所属している。CSIRTは、2020年3月まではセキュリティ担当である私を含め、4人で構成されていた。4月に体制変更があり、2人がチームを外れ、現状のCSIRTの構成員は2人という状況だ。私自身は、CSIRTを5年間担当している。

――企業規模からすると、非常に少ない人数で組織されています

A氏：　難しい状況だが、残ったメンバーでCSIRTの業務をしつつ、社内で拡大しているインフラ系の業務を担っている。少ない人数ではあるものの、弊社がセキュリティを軽んじているというわけではなく、これまでのルール作りやソリューション導入などの組織構築がおおよそ完了したことが大きい。

　ITサービスの拡充に伴い、うまくいかなかった部分やお客さまにサービスを提供する部分に注力する、という方針で見直しが入った結果だ。人員がそちらに割り振られることについては、いい意味で捉えている。

――CSIRTに入る以前はどのような業務に従事していましたか？

A氏：　中途採用で入社後、クレジットカードやポイントに関わるシステムの担当をしていた。また、電子マネーやクレジットカード営業にも携わった。その後、2015年にセキュリティ担当としてCSIRTに入ることになった。

　セキュリティはもともと興味がある分野だったため、ハードルの高さは感じなかった。当時は、国民年金機構の情報漏えい問題があり、CSIRTに注目が集まっていた。私はそれまでCSIRTなど聞いたこともなく、上長と手探りでCSIRTを作り始めた。

　当時は何から始めればいいのか分からず「きっとソリューションを入れれば何とかなるだろう」と思っていた。しかし2016年に、ジェイティービーに対する不正アクセスが、2017年5月には、ランサムウェアの「WannaCry」の被害拡大など、大きなセキュリティインシデントが相次いだ。当社でも実は、WannaCryの被害を発生させてしまっている。この状況に対して「組織として動かないとまずい」と気付いた。

併せて読みたい関連記事

• "ぼっち"CSIRTビギナーズ　今から始める中小企業セキュリティ
• 「CSIRT」という言葉は忘れよう　研究家が語る理想のインシデント対応体制とは
• 「シーサートって何？」――セキュリティ分野の素人2人がCSIRTを立ち上げるまで