ヤマハ、DeNA、KADOKAWAの実践者が語る、組織内CSIRTに必要な要件と機能とは？

　9月7日に開催した編集部主催のセキュリティイベント「Security Online Day 2015」の中から、パネルディカッション「先進ユーザー各社に聞く、組織内CSIRTに必要な要件と機能とは？」の概要とポイントを紹介する。

　パネリストを務めたのは以下の3名。それぞれが、所属する企業内でCSIRT組織の立ち上げと運営に深く関わっている。モデレーターは明治大学ビジネス情報倫理研究所の守屋英一氏が務めた。

組織内CSIRTの設立と運営をスムーズに運ぶには？

　最初に取り上げられたテーマは、「CSIRT構築における経営層の説得は？」。いくらセキュリティ対策の現場でCSIRTの必要性を痛感していても、上層部や経営層がその必要性を認めなければ、CSIRT組織の立ち上げになかなかGOサインは出ない。ITやテクノロジーの動向に疎い経営層に対し、いかにしてCSIRTの意義や必要性を説くか？多くのセキュリティ担当者が頭を悩ます問題かもしれないが、茂岩氏は「同業他社の事例や、政府・官公庁からのお達しを説得材料としてうまく使う」ことを推奨する。 　

　「企業の経営層は、同業他社で起きたインシデントの事例や、『政府機関と取引するにはCSIRTが必要』といったようなお上から降ってくるルールには、極めて敏感に反応する。そうした情報を説得材料として使うのは有効だ。一方で、セキュリティ事故のニュースは大々的に取り上げられる一方、忘れ去られるスピードも早いので、同業他社でインシデントが発生した際にすぐ上層部に進言できるよう、常日頃からセキュリティ動向にアンテナを張り巡らせておくことが重要だ」（茂岩氏） 　

　また西村氏は、CSIRTをセキュリティ対策だけでなく、「内部統制強化」のための施策だと提案することも有効だと述べる。 　

　「企業のセキュリティ対策は今、内部統制の対象事案として扱われている。従って、内部統制の観点からその重要性を主張すると、経営層は敏感に反応すると思う。また、IPAや日本シーサート協議会がCSIRT設立の指南書を公開しているので、それらを経営層に読ませるのも説得効果があると思う」（西村氏） 　

　こうした意見を受け、守屋氏は「やはり多くの企業では、皆さんと同じように現場レベルからボトムアップで経営層を説得する形が多いようだ。では、そうやって経営層を説得できたとして、次にどうやって実際にCSIRTを構築すればいいのか？そこでは、どんな課題や問題点が存在するのか？」と論点を提示した。これに対して茂岩氏は、「CSIRTで最も大変なのは設立よりも、『いかに機能させるか』にある」と力説する。

　「CSIRTの設立自体は、基本的にはCSIRTを名乗ればいいだけ。本当に大変なのは、そうやってできた組織をきちんと機能させること。そのため弊社では、現場から相談を受けたときに決して怒らず、『親身になって一緒に問題解決に当たる親しみやすい組織』というイメージ作りを重視している。これにより、現場で何か起きた際に真っ先に相談してくれるようになり、CSIRTがCSIRTとしてきちんと機能するようになった」（茂岩氏）