これから述べるCSIRTに対する考え方は私個人の考え方であり、世間一般で述べられているCSIRT論とは違う極めてマイナーな意見である。
そのルールはなんのためにあるのか?
最近、CSIRTを構築したい、CSIRTを構築した、という話をよく聞くようになった。標的型攻撃などのサイバー攻撃の増加に伴い、「CSIRTを構築する必要がある」という考え方が浸透し始めたのである。
CSIRTとはどういうものであろうか?ということについては、どこか別の記事を参照してもらうこととしよう。
日本人はルールが好きである。決められたことを守るのは当然だ、と考えている。そして、ルールが決まればそれにひたすら従おうとする。ルールは手段であることを忘れるくらいに従おうとする。ある目的があって、そのために守るべきルールができている、ということを忘れてしまう。いつのまにか、ルールそのものが目的になってしまうのである。
かつて、セキュリティポリシーが重要だ、セキュリティポリシーを作成しなければならない、と言われていた時代があった。このときも、なぜセキュリティポリシーが必要なのか、ということを忘れてしまい、その後にどうしたらいいかがわからなってしまうケースが散見された。セキュリティポリシーの作成が目的になってしまい、そもそものセキュリティ意識の向上やセキュリティ対策の徹底をする目的を忘れてしまうのである。
私は、現在CSIRTを取り巻く雰囲気が、かつてのセキュリティポリシーのそれを思い起こさせるようで、若干、懸念している。いうまでもなく、CSIRTは目的ではない。そして、CSIRTに決まった形などない。まず、なぜCSIRTが必要なのか、ということから考える必要がある。皆が必要と言っているから、他社がやってるから、というのを理由にしてはいけない。
最近のサイバー攻撃や内部情報漏えいは、被害を防ぎきることができない。であるならば、被害に遭うことを想定内とし、いち早く対処すること。
このためにCSIRTが必要なのである。
この記事は参考になりましたか?
- S&J三輪信雄のセキュリティ ニュースレター連載記事一覧
- この記事の著者
-
三輪 信雄(ミワ ノブオ)
日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア