企業内にCSIRTを設置するにはどうしたらいいか──。筆者は企業・団体からこうした相談を受け,CSIRTの設置や運用に関する支援活動に奔走している。本コラムでは,その活動を通じて把握できたCSIRT構築のポイントを紹介していく。
CSIRTは企業などにおけるコンピュータ・セキュリティに関する窓口となる組織である。例えば一般企業なら,社内のセキュリティ向上,インシデント対応に向け,情報収集や社員への情報伝達,対策のコーディネーションといった役割をCSIRTが果たす。
特定のコンピュータ・ウイルスの爆発的な感染被害の発生が目立たなくなっている一方で,特定の情報資産を狙った標的型攻撃など,対応が難しい事案が増加している。しかも,一つひとつのコンピュータ・セキュリティ・インシデントのインパクトが大きい場合が少なくない。
こうした背景から,企業や業界団体などの各組織が自律的にセキュリティ・インシデントに対応できる機能を備える必要性が高まっている。最近では,楽天やカカクコムなどのWebサイトによるサービス提供者が組織内CSIRTを構築したほか,国内の大手金融機関なども検討を進めている。
ただCSIRTという耳慣れない組織を設置するに当たって,ほとんどの企業・団体が「どのような体制を築けばよいか」,「具体的な役割は何か」といった疑問を抱く。そこで筆者が採るアプローチは,チェックリストに基いた,現状の体制とのフィット・アンド・ギャップ分析である。
チェックリストは,JPCERTコーディネーションセンターが日本の企業・団体に適用しやすいように作成した。これを使って議論を進めていくと,必ず「抜け」が発見される。経営者によるオーソライズがその一つ。一時的なものではなく継続的に運営していくための配慮も欠かせない。次回からは,具体例を紹介する。
