4分:CSIRTはどのようにして作ればいい?
企業内CSIRTはどのようにして構築すればいいのだろうか? 実は、CSIRTについてはISMSやプライバシーマークといった「ベストプラクティス」というものが存在しない。つまり、「これさえやっておけば構築できる」といった性格のものではないのだ。この点について、山本氏は次のように語る。
「CSIRTは、『組織』ではありません。有事の際に迅速に集まって対処する町火消しのようなイメージです。具体的にどのように作るかは、企業の風土や文化、あるいは、どのようなインシデントに対応するか、など、どのように機能させるかが重要なのです」。
とは言え、何もないところでいきなりCSIRTを構築するのは困難だ。JPCERT/CCでは、CSIRT構築に関する資料を「
CSIRTマテリアル」という形でWebで公開しており、構想、構築、運用の3つのフェーズについて、詳細な資料を提供している。
たとえば、このマテリアルの「組織内CSIRTの構築プロセス」という資料には、CSIRTを構築するための要因として、下記のような項目について説明がなされている。
- 経営層から理解を得る
- 組織内の現状把握
- 組織内CSIRT構築のためのチーム結成
- 組織内CSIRTの設計と計画
- 必要な予算やリソースの獲得
- 組織内CSIRT関連規則類の整備
- CSIRT要因(スタッフ)への教育
- CSIRTの告知と活動開始
このほかにも、実作業に関する解説や情報管理と設備についてのアプローチなど、CSIRTを構築する上で重要なたくさんの資料が用意されており、CSIRT構築の上で非常に参考になる。
さらに、日本シーサート協議会では、組織内CSIRTの設立に関する促進・支援活動を行っている。このワーキンググループには、シーサート協議会のメンバーとのディスカッションを通じ、組織内シーサートの構築や運用に必要な課題を抽出し、構築、運用に必要なマテリアルなどの作成を目指す「組織内CSIRT課題検討ワーキンググループ」がある。
2011年からは個人での参加もできるようになり、自社内CSIRT構築を目指す人が積極的にワーキンググループに参加し、さまざまな勉強や他のメンバーとの情報交換や交流が可能になった。日本シーサート協議会の会員には、既に社内CSIRTを構築した企業が名を連ねている。
たとえば、日立製作所の「Hitachi Incident Respose Team」は、日立グループ全社におけるCSIRT活動を実践しており、組織間連携可能な脆弱性対策、インシデント対応体制を整備し、CSIRT活動の普及を推進している。
また、富士通では同社のクラウド・コンピューティングにおけるセキュリティを専門に担当し、クラウドサービスの信頼性を高めるためのCSIRT活動を実践している。
セキュリティ関連の技術力とも密接に関連しているため、現在はやはりIT系企業の参画が多いが、昨年より徐々にユーザー企業の参画が増えてきたという。この背景には、冒頭も説明したように、脅威のレベルが年々増大し、ユーザー企業も高度なセキュリティ対策を行う必要が出てきたことが挙げられよう。
5分:社内CSIRT構築のポイントは?
さて、いろいろと説明してきたが、社内CSIRTを作る上での第一歩はどのようなものだろうか。村上氏は「現状の社内体制ではインシデントに対応できない、と危機感を持つ人は多いのですが、会社の上層部のお墨付きをもらってから参加することをお勧めしています」と言う。上層部の理解がなければ、単なる「個人的な勉強」で終わってしまい、会社になかなかフィードバックできないからだ。
さらに、実際に企業内CSIRTを構築する上で重要なポイントは、自社の社風にマッチした機能を作ることだと言う。「単に部署や担当者を決めるだけでは構築できません。CSIRTが社内で認められるよう啓蒙活動を行うとともに、部署を超えたチームの枠組みを作ることが重要」なのだそうだ。
このような社内CSIRT構築のアプローチは、より多くの企業へと広がりつつある。日本シーサート協議会では、今後はさらに業態を超え、広く参加しやすいような環境を整備していく予定だ。セキュリティ体制の構築方法は各社さまざまあるだろう。ただ、企業のインシデント対応能力の向上を目指す企業にとって、CSIRTから学べることは数多くあるのではないだろうか。今後の日本シーサート協議会の動向に引き続き注目していきたい。