ここはBP商事のIT企画室。入社3年目のエンジニアであるA君は,パソコンの前で渋い顔をしていた。先日,上司のS課長,同僚のBさんとセキュリティ・インシデントへの対応策を話しているとき,そのための専門チームを持っている会社を調べてみると請け負った。ところが実際に探し始めてみると,どこから手をつけたらいいのかわからず,行き詰まってしまったのだ。そこにBさんがA君に声をかけてきた。
Bさん:どうしたの? 朝から渋い顔して。
A君:「もしものときのための組織作り」の下調べを始めたんですけど,苦戦してるんです。昨日は課長に「調べてみますよ」なんて気軽に言っちゃったんですけど,こういう社内体制の具体的な話ってあんまり表に出ないみたいで,どこから手をつければいいかわかんなくて・・・。
Bさん:どんなところから調べているの?
A君:何か取り仕切っている部署があるんじゃないかなと思って,そこから探し始めてみたんです。「情報セキュリティ統括室」だとか,それらしい部署名でWebを検索してみたんですけど,「当社の情報セキュリティ全般を統括しています」などと書いてあるだけで,対応体制そのものについては書かれていないんですよ。
Bさん:なるほど,取り仕切っている部署か・・・。そう言われれば私の前にいた会社の白金ソリューションにもそんな部署があったような気がする。どんな名前だったかな・・・。確か「シロソルサート」って呼んでた記憶がある。
A君:「シロソルサート」って何ですか? 初めて聞きました。どう書くんですか?
Bさん:会社名の略称のシロソルに「CERT(サート)」という英単語を続けて「SIROSOL-CERT」。私も詳しいことはわからないんだけど,ここが,セキュリティで事故が起こったときなんかの対応を取り仕切ってたんだよね。「何かあったらまずシロソルサートに報告・相談しろ」って言われてたわけ。
A君:SIROSOL-CERTってのはカッコ良さげな名前だなぁ。「CERT」というのがキーワードですね。助かりました。調べてみます。
企業が作るのは「組織内CSIRT」
がぜん元気を取り戻したA君は,パソコンに向かって早速ヒント探しを再開した。「CERT セキュリティ」といったキーワードで検索してみたところ,検索結果のなかに「JPCERT/CC(ジェーピーサートシーシー)」という団体のWebサイトがあるのを見付けた。このWebサイトは一見しただけで,企業のインシデント対応に関する情報がかなりありそうなことがわかった。うれしくなったA君は,早速Bさんに報告しに行った。
Bさん:JPCERTというのは,どこかの企業のCERTなの?
A君:いえ,ホームページによると,インターネットを介して発生するコンピュータ・セキュリティに関する事象の情報を収集し,対応の支援や関連情報の発信などを行う公的機関だそうです。
Bさん:私たちが作りたい企業の組織とは,ちょっと位置付けというか役割が違う気がするけど。
A君:企業・組織内の情報セキュリティ問題を専門に扱うチームは一般的に「CSIRT(シーサート)」(computer security incident response team)っていうらしいです(図1)。
Bさん:でも,前いた会社のSIROSOL-CERTは,CSIRTではなくCERTを名乗っていたけど?
A君:これも調べてわかったことですけど,CERTというのは世界最初のCSIRTである米CERT/CCの登録商標なんです。つまり,先にCERT/CCが設立され,それからCSIRTという言葉ができたんです。CERTという言葉がCSIRTより先に浸透したので,CERTを名乗るCSIRTもある,ということのようです。
Bさん:じゃぁ,JPCERT/CCもCSIRTなんだよね?
A君:はい。JPCERT/CCは,日本の国レベルのCSIRTで,「国際連携CSIRT」という種類のものらしいです。自分の組織のためのCSIRTではなく,日本国内にあるCSIRTと連携を図るのが主な役割です。Bさんがさっき,位置付けが違うみたいとおっしゃってたでしょう。その通りで,僕らが作りたい自社内のCSIRTは「組織内CSIRT」というんです。
Bさん:いろいろな役割のCSIRTがあるわけね。