「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?:続・企業CSIRTの最前線(2/2 ページ)
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。
セキュリティチームの活動をどう評価する?
CSIRTなどセキュリティチームの活動は、チーム内はもちろん、周囲にもその実績を評価してもらうことが将来につながる。この点でクラインマン氏は、“オフィシャル”と“アンオフィシャル”の2つの方法があると話す。
“オフィシャル”な評価とは、取締役会や経営管理部門などへの定期レポートといった実績報告だ。クラインマン氏も税務局の上層部に対し、情報システムのセキュリティ状況について年1回のレポート、インシデント対応については毎月のレポートを提出していたという。
「年次のレポートは、数ページ程度のシンプルな内容にまとめていました。25のシステムで実施するセキュリティ検査から見つかった脆弱性について件数や内容などを危険度別にまとめたり、例えば、修正作業に要するコストを内製と外注で試算し、比較した結果を示したりしています」
インシデント対応のレポートでは、インシデントの件数をカテゴリ別に示すほか、内容を深刻度で分類して、特に危険性の極めて高いケースは連邦政府にも義務として報告するという。また、2014年に発覚した「Heartbleed」の脆弱性(OpenSSLの深刻な脆弱性の通称)のように、世界的にも大きな影響を与えるセキュリティ問題については、政府省庁に緊急対応を要請することもあったという。
一方の“アンオフィシャル”な評価とは、チームメンバーの活躍を認めるというもの。クラインマン氏のチームからメンバーの有志が世界的なセキュリティ競技会の「Global Cyberlympics」に参戦。CTF(Capture The Flag)と呼ばれる攻防戦形式で競い、大陸別予選を勝ち抜いて、決勝大会に何度も進出している。
「本来の業務とは異なりますが、世界のセキュリティエキスパートと競い合い、その活躍が表彰されることはメンバーにとって励みになります。同時にトレーニングの機会にもなるので一石二鳥ですね」
また、税務局内でもさまざまな部門の活動を表彰する制度があり、CIOがセキュリティチームの貢献を大きく評価した。その際に授与されたトロフィーは、現在のチームの励みになっているという。現在では税務局のセキュリティチームが他の政府機関に対してシステムのセキュリティ評価業務をサービスとして手掛けるなど、チームとしての能力が外部組織にも認められているという。
クラインマン氏は、「セキュリティの仕事は非常に大変でもあり、メンバーの活動を周囲も認めることが最も大切です。同時に、この仕事はとても挑戦のしがいがあり、メンバーも周囲も価値を感じられるようにしていくものであるべきでしょう」と話す。
関連記事
- 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - 脅威から機密情報を守り抜くEMCの社内セキュリティ実践
最先端技術や重要な顧客などの情報を狙う脅威に日々どう対応すれば良いのか。EMC最高セキュリティ責任者のデーブ・マーティン氏は、情報の収集・分析・活用が重要だと説く。 - セキュリティの人や組織をどう作る? 富士ゼロックスや税理士の取り組み
情報セキュリティの強化が求められる昨今、人材の確保や体制構築が企業での悩みになっている。富士ゼロックスと税理士法人あすなろが、大企業と中小企業の立場から取り組みを紹介した。 - 第9回 「進撃の巨人」で知るインシデント対応 CSIRTとSOCの本質とは?
「進撃の巨人」の世界では巨人の脅威に備える3種類の兵団がいる。現実世界でサイバー攻撃に立ち向かい、孤立無援のセキュリティから脱却するために欠かせないCSIRTやSOCとはどのような存在なのだろうか?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.