セキュリティ人材不足でもSIRT組織は作れる！　鍵は橋渡し役「1.5線」の仮想組織

偵察に始まり、巻き込み、巻き取る　「SIRT」の立ち上げ方

　設立にあたるメンバーは「SIRT準備室」として、人員と費用をかけないミニマムな形でスタートすることを第一に、準備フェーズでSIRT室のあるべき姿を検討し、正式な組織への昇格を目指した。なお、経営層への提言時点では「CSIRT」「PSIRT」両方の機能が必要というイメージは固まっていたため、同社では「SIRT」という表記にしている。

　現在、SIRT室長を務める片岡氏は元々コーポレートIT部門に所属しており、SIRT設立の提言時からCISOのサポートをしていたことでSIRT室を兼任することに。CISOと片岡氏、ISMSの担当者、3人でスタートした。

　最初に着手したのは「人」に関わる課題だ。企業規模に限らず、セキュリティ専任者のアサインや採用はハードルが高い。そもそも「専任者だけでは現場を動かせないだろう」と考え、業務現場のメンバーに協力してもらうことを目指した。

　その第一歩は「偵察」から始まる。まずは社内で一番規模の大きなプロダクトのセキュリティ定例会に参加。あくまでも参加者として、「これができてない」などと指摘するのではなく、議論の内容や粒度を確認することが目的だ。

　その次は「巻き込み」。ある程度馴染んでくると、他プロダクトのセキュリティ担当者を勧誘した。プロダクトオーナーを通じて「（基盤が共通のため）参考になりそうですよ」など、メリットを示して招き入れていく。

　そして最後のステップは「巻き取る」だ。現場が何を議論をしているのか、その全体像が見えたところで「ファシリテーションをさせてもらえませんか」と司会進行や事前のアジェンダ整理を手がける。その上で「せっかくなので共通課題も話しませんか。セキュリティでお困りごとがあれば共有しませんか。誰かナレッジをお持ちかもしれません」と共通課題へとアジェンダを広げていく。そして隔週開催だった会議体を個別の議題を扱う週、共通課題を扱う週と毎週開催に変更するなど、コミュニケーションの機会を増やした。

　失敗もあった。上記と並行してSIRT室の役割を明確にするため、「サービスカタログ」を策定しようとしたものの現場課題と関連していない点も多く、うまくいかずに中止している。片岡氏は「理想はありますが、やれるところから進めていきました。当初の課題に立ち返り、『何を解決したいのか』を明確にすることで方針が見えてきます」と話す。

　他にも、SIRT準備室の半期目標（OKR）を社内共有する際、正式な組織にするまでの内容を盛り込みすぎて重要な部分が伝わらないなど、いくつもの課題に直面。その度に当初の課題に立ち返り、「現場を起点」とした現実的なマイルストーンを設定することで、“ミニマムなSIRT室”として必要な機能が見えてきたと片岡氏。インシデントレスポンスのライフサイクルにスコープを絞り、「平時の予防」と「有事の迅速な対応」の2つを目標に掲げた。