不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方（後編）（3/4 ページ）

2017年に発生した不正アクセスの再発防止に向け、着実に歩みを進める大阪大学。その先には、大学という多様性に満ちた組織における、新たなガバナンス、そしてCSIRTの在り方を模索、研究するという目標がある。

[高橋睦美，ITmedia]

　ミスを起こしてしまったときは、申し訳ない気持ちでいたたまれなくなったという柏崎氏。とはいえ、人間は必ずミスをしてしまう生き物だ。だからこそ、複数人で決定することで、ダブルチェックでミスを減らすだけでなく、万一間違えたときの心理的な負担を減らすという効果もあると考えている。

　現在、大阪大学のCSIRTでは「国立情報学研究所のNII-SOCS（NII Security Operation Collaboration Services）から届いたマルウェア通信情報を基に、遮断すべきかどうか議論するときは、まず情報を展開する人間が、遮断すべきか、それとも静観すべきかという意見を表明し、他の2人が同意したら実行される形にしています。意思決定のスピードが遅くなるのは事実ですが、これによって少し冷静になれるのもメリットです」（柏崎氏）

システムに合わせるのではなく、人に合わせるシステム、そしてセキュリティを

　CSIRTを運用していると、ある程度のセキュリティ知識やスキルを持った人間が複数いるのが望ましいというのが一般的な考え方だが、一方で、これには良くない点もあると柏崎氏は警鐘を鳴らす。

　「ある程度のセキュリティレベルを持った人間ばかりがそろうと、必然的に意見が偏ります。そうなると、ユーザーのことを考えずに突っ走ってしまうこともあるんですね。それはとても怖いこと。だからこそ、多様性が重要だと考えています」

　柏崎氏自身、海外で行われたUSENIX協会のワークショップに参加したときに、多様性の尊重から得られる大切なことに気付いたそうだ。周囲は皆、ネイティブの英語を話す人たちであり、すらすらと意見を発表する中、英語がそれほど得意ではない同氏はオロオロするばかり。だが、そのワークショップの主催者であるラリッサ・ブラウン・シャピロ氏（当時はMozillaのシニアエンジニアリングプログラムマネージャーを務めていた）は、そんな同氏にこう言い、発言を待ってくれたという。

　Hiroki、君はどう思う？　簡単な言葉で、ゆっくり言ってくれていい。私は聞くから。

　「これか、と思いました。あるスピードがそのコミュニティーにとって当たり前になってしまうと、ゆっくり考えれば意見を出せるはずの人の意見をつぶしてしまうことになります。意見をつぶさないためには、一番“できない”人間に合わせないといけません」（柏崎氏）

　スピード感が損なわれるというデメリットはあるものの、多様性を忘れて1つの方向に突っ走ってしまうリスクを忘れてはいけないという教訓だ。これは、最近の流行語でもある「デジタルトランスフォーメーション」にも通じるところがある。