日本シーサート協議会
JPCERTコーディネーションセンター
戸田 洋三

 これは,入社3年目の若手エンジニアA君が社内を奔走し,セキュリティ・インシデントに対応する組織横断的なチームを発足させるまでの奮闘ぶりを追ったフィクションである。物語の舞台は,東京都内にあるBP商事。同社は,ネットワーク機器の販売やシステム構築サービスを手がける社員1500名ほどの企業だ。

◆     ◆     ◆

 BP商事のIT企画室に所属するA君は,配属3年目のエンジニアだ。ある日の午後,A君は本社の8階にある部署の会議机で,資料を積み重ねて調べ物をしていた。役員会で「社内にあるすべてのWebサイトを対象に,ぜい弱性がないかどうかを検査せよ」という方針が決まり,IT企画室にお鉢が回ってきたのだ。

 そこでIT企画室のS課長はA君に,下準備としてぜい弱性を検査してくれるサービス業者をピックアップし,一覧表を作るように指示した。目下A君は,その作業に追われているというわけだ。

 A君が所属するIT企画室は,社内のIT化推進のために3年前に作られた部署で,販売事業部の配下にある。社内のIT化は,ネットワーク機器を取り扱う販売事業部にとってノウハウの蓄積などにつながるためだ。もっとも最近は,今回のように社内で発生するさまざまな問題にどうやって対策していくかという検討が主な業務になりつつある。

 一通り調べ物が終わったA君が顔を上げると,社内会議から浮かない顔つきで戻ってきたS課長と目が合った。

A君:課長, 早かったですね。もっと時間がかかると思ってましたよ。

S課長:いやぁ,参った。販売事業部内のパソコンのウイルス対策一斉実施の話があっただろう。事業部内の各部の長と何度も会議して,先週やっと了解が出たんだよ。そこで社長に報告しに行ったのだが,ざっと説明したところで社長が「そういえばSI(システム・インテグレーション)事業部はどうなってる」と言いだしてね...販売事業部だけでなく,SI事業部も含めて社内すべてのパソコンを対象にした企画に練り直すことになったよ。

A君:それで会議が早く終わったのに,浮かない顔をしてるんですね。

S課長:そういうこと。ウチは販売事業部の下で,SI事業部とは違うラインだからね(図1)。そういう意味では,社内の関係しそうなメンバーを集めてチームを組んで,全社的に話をまとめてから社長に話を持っていくべきだったのかもしれないな。

図1●BP商事の組織図(一部)
図1●BP商事の組織図(一部)
[画像のクリックで拡大表示]

A君:SI事業部に声をかけるとこから仕切り直しというわけですね。