「CSIRTという社内企業」をどう目立たせる？ 組織作りで重要になる3つの要素：リーダー4人に聞いた2025年のCSIRTの形（後編）（2/2 ページ）

サイバー脅威の高まりからCSIRTをはじめとしたセキュリティ組織の重要性が叫ばれている。だが、ただ組織を立ち上げるだけでは取り組みはうまくいかない。組織の力を最大限に発揮するノウハウを現役CSIRT担当者たちが語り合った。

[文 宮田健 企画・取材 田渕聖人，ITmedia]

「CSIRTとは社内企業だ」　組織作りで重要になる3つの要素

――これからCSIRTを作ろうという組織はまず何をすればいいのでしょうか。

中本氏：　実際にうちでやった取り組みですが、まずはCSIRTを作ること。そして仲間集めですね。構築に悩んだときにはJPCERT/CCが公開しているCSIRTハンドブックが有効です。

　CSIRTに必要な機能を一度に全て実現しようと思うと大変です、エムオーテックスでも自社にとって重要な機能を中心に取り組んでいます。小さく絞ってでもいいので、できるところがないかどうかを見て活動してみてください。それでもたぶんどこかで行き詰まると思いますので、そうしたらNCAの地区活動委員会のワーキンググループに入るのがいいでしょう。

津留氏：　CSIRTをイチから立ち上げた経験からいうと、「ブランディング」「マーケティング」「体制づくり」の3つが重要だと思っています。特に重要なのはマーケティングで、組織を作ったはいいが知られていないと、相談にすら来てもらえません。Cygame-CSIRTでは社内報に活動を載せたり、朝会で活動に触れてもらったりするなど、いろんな方法を駆使しました。中本さんのところのように、CSIRTのメンバーの顔や趣味を載せた情報を出して、認知してもらう施策も良いですね。

　例えば、当社はエンタメの会社ですから、「渋谷の駅前で怪しいWi-fiスポットを探せ！」といった企画を作り、セキュリティ関連の記事にして興味を持ってもらい、CSIRTをはじめとするセキュリティ組織の認知度を高めました。ある意味で社内企業のような感覚で広めています。「あそこは楽しくてすごい人たちが集まっている」と思ってもらえるとうれしいです。

石田氏：　業種が違っていたとしても、会社や組織の形態が似ている企業の取り組みは参考になります。今からCSIRTを作るという方であれば、同じ業種のCSIRTはもちろん、業種は違うけど組織の在り方が似ている会社のCSIRTの話も非常に参考になると思います。

　きちんと機能するCSIRTを作るには、経営や実務を知る人をIT・セキュリティという領域に巻き込むこと必要があります。しかし「それができるすごい人を今すぐ連れてこい」といわれても困難です。まずはセキュリティ担当者自身が異なる領域の話に耳を傾けて理解しようとする姿勢が必要です。これはCSIRTを立ち上げた後でも大切なことかと思います。

松本氏：　自分がサイボウズに入ったときにはもうCSIRT組織が出来上がっていたのですが、前職ではイチからの立ち上げに参加しました。そのときNCAなどの社外の仲間と情報交換できたことは本当に助かりました。

　組織を作るときは、社内外で同じ思いを持つメンバーを見つけることが大事です。最初からCSIRT機能を全て作るのは難しいので、最小限という意味では、外部からの連絡窓口となるPoC（Point of Contact）を作ってみるところから始めるのはどうでしょうか。とにかく一人ではどうにもならないし、社内だけでもどうにもならない。外とのつながりに尽きるのではないかと思います。

各社のCSIRTのこれから

――皆さんのCSIRTの展望を最後にお聞かせください。

松本氏：　Cy-SIRTも徐々に人数が増えてきました。最近は海外向けの監査対応が増えているので、セキュリティ部門のグローバル化が課題になっています。グローバルな人材採用や教育を考えていきたいです。

津留氏：　Cygamesでもグローバル化が課題になっています。日本市場が今後縮小することを想定し、世界でコンテンツを売っていかなければならないという状況にあります。そのとき、セキュリティのルールとしてグローバルで共通化したり、国ごとのルール整備をしたりと、最初の段階ですべきことはたくさんあります。後からルールを適用することは非常に労力がかかるので、今のうちに整備しておきたいです。

石田氏：　NTT西日本はこれまでの積み重ねがあるといえば聞こえはいいのですが、セキュリティのルールがやや複雑になってしまっている部分があります。そのためポリシーやガイドラインをシンプルに、かつ具体的でより実行的にするため活動を実施しているところです。

　セキュリティ部門だけではなく、組織や会社を横断しての人材育成体制の整備にも力を入れています。全社的なセキュリティリテラシーの向上や高度なセキュリティ人材の育成強化も将来的には実施していきたいですね。

中本氏：　エムオーテックスでは人材育成に加えて、直近では訓練に力を入れています。CSIRTメンバー自身の訓練はもちろん、社員へのメール訓練なども実施しています。社員や広報、経営者を巻き込み会社全体で取り組む風土を作ることがセキュリティ意識をもう1段階上げることに繋がります。つまり、”セキュリティのジブンゴト化”をしてもらうことが重要です。

――皆さん本日はありがとうございました。

〜編集後記〜

ランサムウェアをはじめとしたサイバー攻撃の高まりを受けて、インシデントを担うCSIRTをはじめとしたセキュリティ組織の構築や運用が企業には求められている。ただこれはCSIRTに限らないが、新しい組織を立ち上げるというのは常に困難が付きまとう。特に新たな組織の役割や価値を経営層を含めた全従業員に明確に伝えられなければ「よく分からない活動をしている組織」というレッテルを貼られてしまい活動への理解が得られず、思うように取り組みが進められない事態になりかねない。

その意味では、今回のインタビューで津留氏が言っていたようにCSIRTに限らず新しく立ち上がった組織は自らを「社内企業」であるという意識を持ち、自分たちだけの取り組みに閉じずそれを社内外に発信するという動きが非常に重要なのではないだろうか。社内では、「誰かが見ているだろう」ではなく積極的に自分たちの存在や活動をきちんとアピールし、理解を得られれば、周囲の協力や一定の権限を持って取り組みをスムーズに進められる。また、社外のコミュニティーにも積極的に顔を出し、情報を集めつつ同じ志を持つ仲間と意見を交換すれば、新しい知見も増えていくだろう。参考になれば幸いだ。

（編集部　田渕）