それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか？：リーダー4人に聞いた2025年のCSIRTの形（前編）（2/2 ページ）

[文 宮田健 企画・取材 田渕聖人，ITmedia]

「わずか2人の専任」が生み出す、組織にとって重要なパワー

――CSIRTを運営していて、こうしたらうまくいったというエピソードを教えてください。

中本氏：　MOTEX-CSIRTではようやく専任担当者を置けたので、これまでできなかったもう一歩踏み込んだ対策ができるようになることを期待しています。既にいい影響も出ていて、専任メンバーと普段からセキュリティについての会話ができるようになり、多くの課題を発見できています。

　専任担当者は2人だけですが、セキュリティ業務に100％コミットできるメンバーがいるといないとでは大きな違いです。兼務が悪いわけではないのですが、専任化の良さを実感しました。

――具体的にはどのような課題が出てきたのでしょうか。

中本氏：　分かりやすい例だとシャドーITですね。クラウドサービスの社内利用状況を確認するためのログ分析をするリソースができたのでやってみたら、案の定グレーなサービスが幾つか見つかりました。

　2024年はVPNに関連した緊急性の高い脆弱性が多く公開されたので、兼務メンバーだけのときには対応に苦労していたのですが、専任担当者がいることでスケジュールの調整もしやすくなって、重大度が高い脆弱性にスピーディーにパッチを適用できるようになりました。

松本氏：　では、うちは逆に兼務の話をします。サイボウズでは体験入部の仕組みがあるので、広報や法務などの部門から希望者を募って少しずつ兼務者を増やしています。

　情報システムや技術部門以外の視点が増えることでのノウハウも蓄えられますし、部門間の円滑な連携にもつながります。もちろん専任メンバーが増えることも良いことですが、広報や法務が分かる人にセキュリティの業務に加わってもらえるのは非常に心強いですね。

津留氏：　Cygame-CSIRTはコアメンバーが10人くらいで、実はその中に役員が含まれているため、重要な決定も下しやすいチームです。あるインシデントで社内のPCが利用できなくなった際には、上層部からの号令で社内の開発者500人の協力を仰ぎ、復旧を手伝ってもらいました。そのときの復旧の速さは、恐らく他の企業よりも優れていたはずです。上層部とのパイプが比較的強いことがプラスに働いた好例です。

――新人教育という面では皆さんのチームではいかがでしょうか。

石田氏：　当社の組織内だけで考えるのはなかなか難しいので、他社の事例も参考にできればなと考えています。例えば日本シーサート協議会の中にはセキュリティ教育に関するワーキンググループがあるので、そこに参加しているチームメンバに他社事例を集めてもらって自社に反映していく、といったイメージです。

津留氏：　Cygamesでも一緒ですね。われわれはエンターテインメント業界にいるので、その中で声をかけ、各社セキュリティ担当が集まって情報交換を月に一回やっています。「Slack」のチャンネルを常時開けていて、相談できるような場所を作っています。同業他社は企業文化が似ていて、使っているツールも参考になる話が多いです。

――業界特有のセキュリティ課題もありますか。

津留氏：　やはりゲーム業界は現場が強く、管理側の希望を通すにはかなり強いトップダウンの力が必要です。これまでいろいろな会社にいましたが、気を遣わねばならない部分ですね。逆に、みんな本当はこう思っていたのだろうということは分かるようになったので、それをフォローしながら進めるのがうまくなったという実感があります。

　後編では、今後CSIRTに求められる機能や役割などを語ってもらう。