CSIRTの機能を持つ組織を設置しても,実際にインシデントに即応できなければ意味がない。「いざという時に素早く動けること」を念頭に,体制やツールを整える必要がある。
例えばある企業では,情報システム部門にCSIRTの役割を担う組織を設けた。ところが,肝心なときに素早い対応ができなかった。問題は,システム部門としての権限しか与えられておらず,対策への着手が遅れたことだ。
初動が遅れれば遅れるほど,インシデントによる被害は大きくなる。意志決定の時間が短くなるように,CSIRTを経営者の直下に置く,あらかじめ判断基準を示してCSIRTに権限を委譲する,などしておく必要がある。ただし,あくまでも重要なのは素早く動けること。実際に手を動かして対策を実施する組織からの距離が離れてしまっては,対策に着手するまでに時間を要してしまう。例えば楽天やカカクコムは,顧客を守るために即座に動けるという観点から,システムの開発・運用部門にCSIRTを設けている。
このほかにも,素早い動きを実現するために欠かせない条件はいくつかある。例えばぜい弱性情報を収集するパブリック・モニタリングの仕組み,運用フローなどがそうだ。CSIRTの業務を支援するツールを使うことを考えても良いだろう。最近では,オープンソース・ソフトなどのツールが充実してきた。
CSIRTスタッフ間の意思疎通を図り,社員からの信頼を得るための工夫も重要である。例えばグループウエアなどによる「情報共有」だけでは,必ずしもCSIRTスタッフ間の信頼関係を築けない。特にグループ企業などで各社からスタッフを集めてCSIRTを構成するような場合は意思疎通が難しい。
あるグループ企業では,組織の目的意識の浸透と円滑な連携を図るべく,月1回会議を開いている。子会社に所属するCSIRTスタッフにもセンシティブな情報を提供することで,信頼関係を築く狙いである。
