そのルールはなんのためにあるのか?
最近、CSIRTを構築したい、CSIRTを構築した、という話をよく聞くようになった。標的型攻撃などのサイバー攻撃の増加に伴い、「CSIRTを構築する必要がある」という考え方が浸透し始めたのである。
CSIRTとはどういうものであろうか?ということについては、どこか別の記事を参照してもらうこととしよう。
日本人はルールが好きである。決められたことを守るのは当然だ、と考えている。そして、ルールが決まればそれにひたすら従おうとする。ルールは手段であることを忘れるくらいに従おうとする。ある目的があって、そのために守るべきルールができている、ということを忘れてしまう。いつのまにか、ルールそのものが目的になってしまうのである。
かつて、セキュリティポリシーが重要だ、セキュリティポリシーを作成しなければならない、と言われていた時代があった。このときも、なぜセキュリティポリシーが必要なのか、ということを忘れてしまい、その後にどうしたらいいかがわからなってしまうケースが散見された。セキュリティポリシーの作成が目的になってしまい、そもそものセキュリティ意識の向上やセキュリティ対策の徹底をする目的を忘れてしまうのである。
私は、現在CSIRTを取り巻く雰囲気が、かつてのセキュリティポリシーのそれを思い起こさせるようで、若干、懸念している。いうまでもなく、CSIRTは目的ではない。そして、CSIRTに決まった形などない。まず、なぜCSIRTが必要なのか、ということから考える必要がある。皆が必要と言っているから、他社がやってるから、というのを理由にしてはいけない。
最近のサイバー攻撃や内部情報漏えいは、被害を防ぎきることができない。であるならば、被害に遭うことを想定内とし、いち早く対処すること。
このためにCSIRTが必要なのである。
