「CSIRTという社内企業」をどう目立たせる？ 組織作りで重要になる3つの要素：リーダー4人に聞いた2025年のCSIRTの形（後編）（1/2 ページ）

サイバー脅威の高まりからCSIRTをはじめとしたセキュリティ組織の重要性が叫ばれている。だが、ただ組織を立ち上げるだけでは取り組みはうまくいかない。組織の力を最大限に発揮するノウハウを現役CSIRT担当者たちが語り合った。

[文 宮田健 企画・取材 田渕聖人，ITmedia]

　「ITmedia エンタープライズ」は、現役CSIRT担当者に集まってもらい、組織における取り組みや課題感といったテーマを広く聞く座談会を実施した。前編は、2024年のサイバーセキュリティ状況や気になったトピックを振り返りつつ、自社の活動について聞いた。

　後編となる今回は、CSIRTに求められる役割や機能、CSIRTをはじめとしたセキュリティ組織や責任者をまだ立てられていない企業に向けたアドバイスを伝える。

CSIRTを有効に機能させるために欠かせないある取り組み

――CSIRTがうまく動くために必要な役割があれば教えてください。

石田 悠氏（以下、石田氏）：　今の時代、インシデント発生時の対処を担う組織という意味でCSIRTは必要不可欠です。

NTT西日本の石田 悠氏（セキュリティ＆トラスト部　/　NTT WEST-CIRT）（出典：石田氏提供）

　ただ、CSIRTの在り方は所属する組織や会社によって異なるので、「こうあるべき」と一概にはいえません。ある会社における理想のCSIRTが、そのまま他の会社で機能しないことは往々にしてあるでしょう。そのときに大切なのは、自組織や自社にとって、「どのようなセキュリティの機能が必要で」「その機能をどう実装すればいいのか」です。それを経営層と合意を取りながら進めるのが、CSIRT作りの理想、あるべき姿ではないかと思います。そのためには「企業としてそもそも何を守りたいのか」を明確化するのが重要です。

松本 純氏（以下、松本氏）：　日本シーサート協議会（以下、NCA）でもよく言われているのですが、「同じ形のCSIRTは一つとしてない」というのが、今の石田さんの言葉にも表れていますね。

サイボウズの松本 純氏（セキュリティ室／Cy-SIRT）（出典：松本氏提供）

　私も石田さんの意見には同意で、セキュリティの中でもミニマムで必要とされている機能については、経営者ときちんと握った上で作る必要があると思います。先ほど津留さんが「CSIRTのコアメンバーに役員が含まれているため、重要な決定も下しやすい」と言っていました。これは経営者が正しく活動を認知し、重要な役割をCSIRTが担っているということを認識してくれていたからこそでしょう。

　サイボウズはセキュリティ室や情報システム部、社長の3者が毎週情報交換をしています。平時から役員を含む経営トップにセキュリティに関する情報をインプットできる機会を作っておくことは、いざというときのスピード感につながります。

　この他、業界内での情報交換も重要です。私たちは2〜3年前からSaaSベンダーで集まり情報交換会を開いています。業界内の監査やセキュリティチェックの対応など、業界ならではの似た課題を持っているため、各社の取り組みは非常に参考になりますし、勇気付けられる部分があります。業界内での連携を強化していずれは監査やセキュリティチェック対応などで新しいスタンダードを作っていきたいという思いがあります。

中本琢也氏（以下、中本氏）：　エムオーテックスはここ数年で社員数が一気に増え、中小規模を脱しようとしていますが、中小規模の企業だからこそ、CSIRTを作ってほしいと思っています。恐らくセキュリティを担う役割がいなければ、組織内でセキュリティの話題が出てこないというか、どうしても後回しにされてしまいます。そのため、まずは役割を作るのが大事です。

エムオーテックスの中本琢也氏（CISO）（出典：中本氏提供）

　しかし、いざCSIRTを作ったとしても「何をすればいいのか分からない」という悩みも出るでしょう。宣伝ではありませんが、例えばこの場の全員が加入しているNCAに入り情報を集めながら、自社の社長と定期的にセキュリティに関するミーティングを設定するだけでもいいと思います。

　情報システム部門だけでは、社長に直に報告する機会はなかなか作りにくいものですが、そういうときは「まずはセキュリティについて定期的に会話することが重要らしいですよ。著名な企業も行っている取組みです！」と伝えてみてください。はじめの一歩は本当に小さくても、少しずつ動きを作っていけるのではないかと思います。

Cygamesの津留大介氏（情報システム本部　本部長）（出典：津留氏提供）

津留大介氏（以下、津留氏）：　むしろ参加者が1桁台だからこそ、遠慮なく突っ込んだ話もできますよね。

石田氏：　情報を集めるためにどのような社外活動の場に参加するのかは難しいところで、同じ悩みを持つ人を探す場としては、たくさんの人がいる場所がいい。しかし突っ込んだ話をしようとすると、たくさんの人がいる場では話をしにくくなります。同じ悩みを持つ人を見つけたら、少し人数を絞って深く喋ることが、情報収集には必要かもしれません。もちろん出会わなければ始まらないので、そういう場所に行くことは大切です。

セキュリティ担当者は「社長になったつもり」で動くべし

――経営層がセキュリティに無理解だと、これから大変かもしれませんね。

中本氏：　社長は常に経営として伸ばせる領域とリスクの領域を考えています。担当者はその両面に役立つセキュリティの情報を伝える必要があるでしょう。

　経営として伸ばせる領域では、最近サプライチェーンの課題が顕在化しています。そこで「セキュリティ対策は企業の競争力向上に繋がります」とか、「この認証を持っているとビジネス面でプラスにできますよ」などビジネスとうまくひも付けてセキュリティの価値を説明するといいと思います。

津留氏：　「同業他社ではこういった事件が発生して業績がこう変化しました」とか「インシデントの記者会見には社長が出ていますよ」といった話も有効でしょう。セキュリティをより身近に感じてもらうために、定期的にこれらのトピックをレポートで報告するのもいいですね。

松本氏：　同業他社の動向を収集するのは重要ですよね。他社のセキュリティ対策が進んでいれば「自分たちもやらなきゃ」という危機感にもつなげられますし。また「他社がやっている」対策とその背景を踏まえて、本当に自社にとってその対策が有効かどうかを精査する材料にもなると思います。

津留氏：　ある意味、われわれCSIRTのメンバーも、社長になったつもりで動く必要があると思っています。事業の目的や目標をしっかり見ていなければ、それはできません。

　私たちは単にセキュリティ強度を上げるために存在するのではないと思っていて、セキュリティに対して、適切な判断を下すこと、セキュリティに関してその時々にベストな判断を下すという意味では、セキュリティ以外の部分の優先度を高める判断もあるでしょう。