組織内CSIRT構築に関する相談を受けた際,現状と目標のフィット・アンド・ギャップ分析をしていると,理解を新たにしてもらうべきことが必ずと言っていいほどある。CSIRTは人を管理するのではなく,インシデントを管理し,それをコントロールするための組織(機能)だということである。
大抵の企業は既に,ファイアウォールやウイルス対策ソフトの導入,パッチの適用促進,教育など,様々なセキュリティ対策を講じている。ただ,その多くはあくまでも予防に主眼を置いたもの。社員に対策の励行を求め,対策を怠った社員には注意や処分を課している。
いくら予防に力を入れて対策を励行しても,最近の攻撃は必ずしも防ぎ切れない。大切なのは,いざ被害が発生したときに即座に認識し,対処できる体制作りである。これがインシデントの管理とコントロールである。
この視点に立つと,多くの企業は十分な対策ができていない。例えばウイルス対策ソフトについて,「導入していますか」ではなく,「そこから得たインシデント情報を活用していますか」と尋ねると,明瞭な答えが返らないケースが多い。いつ,どの部署の社員のパソコンでウイルスが検出されたか,それを駆除できたかどうかといった情報を一元管理していれば,インシデント発生時にどこに影響が及びそうか,適切な対策は何かを即座に判断できる。
通販サイトなどで顧客から問い合わせを受ける場合も同様である。初動,つまりインシデントを素早く発見・認知することが組織内CSIRTの第1の役割と言える。組織内CSIRT構築に当たっては,まず担当者がこのことを理解することが不可欠である。
さらに言えば,CSIRTの存在と位置付けを社員のほか顧客をはじめとする外部にしっかり伝えること,自らが適切にインシデント情報を収集・把握できる環境を整えることも大切な仕事である。
