
いざというときのセキュリティインシデント対応を迅速かつスムーズに行う上で、極めて重要な役割を果たすとされるCSIRT。このCSIRTを自社内に設け、有効に機能させるには、一体どんなポイントを押さえておくべきなのか?実際に企業において、組織内CSIRTの設立と運営に深く関わっている3名のエキスパートを招き、そのコツや勘所について大いに語ってもらった。
9月7日に開催した編集部主催のセキュリティイベント「Security Online Day 2015」の中から、パネルディカッション「先進ユーザー各社に聞く、組織内CSIRTに必要な要件と機能とは?」の概要とポイントを紹介する。
パネリストを務めたのは以下の3名。それぞれが、所属する企業内でCSIRT組織の立ち上げと運営に深く関わっている。モデレーターは明治大学ビジネス情報倫理研究所の守屋英一氏が務めた。
- 守屋 英一氏(明治大学ビジネス情報倫理研究所 客員研究員)
- 茂岩 祐樹氏(株式会社ディー・エヌ・エー システム本部 セキュリティ部 部長)
- 西村 卓也氏(株式会社KADOKAWA管理局 情報システム部 情報技術課 課長、角川アスキー総合研究所 客員研究員)
- 原子 拓氏( ヤマハ発動機株式会社 プロセス・IT部 IT技術戦略グループ 主務)
組織内CSIRTの設立と運営をスムーズに運ぶには?
最初に取り上げられたテーマは、「CSIRT構築における経営層の説得は?」。いくらセキュリティ対策の現場でCSIRTの必要性を痛感していても、上層部や経営層がその必要性を認めなければ、CSIRT組織の立ち上げになかなかGOサインは出ない。ITやテクノロジーの動向に疎い経営層に対し、いかにしてCSIRTの意義や必要性を説くか?多くのセキュリティ担当者が頭を悩ます問題かもしれないが、茂岩氏は「同業他社の事例や、政府・官公庁からのお達しを説得材料としてうまく使う」ことを推奨する。

株式会社ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏
「企業の経営層は、同業他社で起きたインシデントの事例や、『政府機関と取引するにはCSIRTが必要』といったようなお上から降ってくるルールには、極めて敏感に反応する。そうした情報を説得材料として使うのは有効だ。一方で、セキュリティ事故のニュースは大々的に取り上げられる一方、忘れ去られるスピードも早いので、同業他社でインシデントが発生した際にすぐ上層部に進言できるよう、常日頃からセキュリティ動向にアンテナを張り巡らせておくことが重要だ」(茂岩氏)
また西村氏は、CSIRTをセキュリティ対策だけでなく、「内部統制強化」のための施策だと提案することも有効だと述べる。
「企業のセキュリティ対策は今、内部統制の対象事案として扱われている。従って、内部統制の観点からその重要性を主張すると、経営層は敏感に反応すると思う。また、IPAや日本シーサート協議会がCSIRT設立の指南書を公開しているので、それらを経営層に読ませるのも説得効果があると思う」(西村氏)
こうした意見を受け、守屋氏は「やはり多くの企業では、皆さんと同じように現場レベルからボトムアップで経営層を説得する形が多いようだ。では、そうやって経営層を説得できたとして、次にどうやって実際にCSIRTを構築すればいいのか?そこでは、どんな課題や問題点が存在するのか?」と論点を提示した。これに対して茂岩氏は、「CSIRTで最も大変なのは設立よりも、『いかに機能させるか』にある」と力説する。
「CSIRTの設立自体は、基本的にはCSIRTを名乗ればいいだけ。本当に大変なのは、そうやってできた組織をきちんと機能させること。そのため弊社では、現場から相談を受けたときに決して怒らず、『親身になって一緒に問題解決に当たる親しみやすい組織』というイメージ作りを重視している。これにより、現場で何か起きた際に真っ先に相談してくれるようになり、CSIRTがCSIRTとしてきちんと機能するようになった」(茂岩氏)
この記事は参考になりましたか?
- Security Online Day 2015 講演レポート連載記事一覧
-
- 標的型攻撃、まだまだ取れる対策はある!――企業がダメージコントロールの前に考えるべき対策
- 国民ID制度の先行国に学ぶ、マイナンバー対策の勘所―韓国ペンタセキュリティ キム・ドクスC...
- ヤマハ、DeNA、KADOKAWAの実践者が語る、組織内CSIRTに必要な要件と機能とは?...
- この記事の著者
-
吉村 哲樹(ヨシムラ テツキ)
早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア