セキュリティ人材不足でもSIRT組織は作れる！　鍵は橋渡し役「1.5線」の仮想組織

SIRTと現場の橋渡し役の1.5線　仮想組織「V-SIRT」を形成

　本格的な組織づくりへと歩みを進めるには、先述した定例会に参加するメンバーだけではなく、現場エンジニアにも協力してもらう必要がある。このとき、いわゆる「3LoD（3 Lines of Defense：3線防御）」に基づいたリスクマネジメントを実施しようとしても、リソースが潤沢でないと現場メンバーの負担は増すばかりだ。そこでインフキュリオンでは、現場メンバーを1線、SIRT室を2線として、その間を埋める存在の“1.5線”として仮想組織（V-SIRT）を設置することで、効率的にリスクマネジメントできる組織構造とした。

　この1.5線には、3つの役割として「1線の伴奏者」「1線と2線のつなぎ役」「（複数プロダクトにわたる）1.5線内の情報共有」を定義。1.5線内でも、プロダクトを横断した情報共有が進むことを期待した。1.5線には先述した定例会の参加者をはじめ、現場リーダーのようなメンバーが想定される。片岡氏は「1.5線に相当するアクションをしている方は、おそらくどの会社にもいることでしょう。そうした役割に名前を付けることで、より立場が明確になります。1.5線でなくても『セキュリティチャンピオン』など、名前を付けることが重要なのです」と強調する。

　このときV-SIRTを設ける構想をプロダクトオーナーに持ちかけると、プロダクトオーナーからは、1線に限りなく近い役割をSIRT室に期待されたという。あくまでも「ミニマムスタート」である点を強調し、インシデントハンドリングに特化することで合意を得た。また、現場メンバーにV-SIRTの役割を担ってもらうと、セキュリティ対応に加えて、定例会や調査協力などで稼働がどうしても増えてしまう。当然ながらプロダクトオーナーは快く思わないものの、片岡氏は「セキュリティリスク対応はV-SIRTの有無とは関係なく生じるものであり、定例会や調査協力などは横展開の省力化で回収できる」と説明しながら協力を求めたとする。

　そうして正式に「SIRT室」を始動させることができた。正式な部門となったことで予算を獲得でき、セキュリティツールの導入や外部パートナーとの連携も強化できるように。さらに日本シーサート協議会（NCA）主催のワークショップに参加することでCSIRT構築のセオリーだけではなく、他社事例や人脈など多くの知見を得られるとした。

　SIRT室の成果と展望へと話を進めよう。最大の成果と片岡氏が挙げるのは、「情報共有の場」を創出したことだ。先述した「情報伝達」「セキュリティレベルの差異」「リソースの非効率さ」という、3つの課題に好影響を与えることができたという。

　また脆弱性管理など、標準化と可視化の取り組みが1線にも波及したことで、現場メンバーが当事者意識をもってプロダクトセキュリティに取り組めるようになった。さらに情報共有の場を設けたことで、他社でインシデントが発生したときにもSIRT室が素早く調査・報告できるようになり、経営層にも受け入れられているという。「2線主導ではなく1.5線メンバーが自律的に動けるようになった結果、たとえばランサムウェア感染時の対応に関するナレッジが共有されるなど、『自然な標準化』につながった点も重要です」と片岡氏。今後インフキュリオンは、SIRT室の機能と体制を順次拡大していく。社内セキュリティの高度化だけではなく、金融サプライチェーン全体を守るための組織戦略も視野に入れているという。

　「皆さまの組織でも、リソース不足の壁があると思います。（インフキュリオンの取り組みが）SIRTを組成し、機能させるためのヒントになれば幸いです」（片岡氏）