ここはBP商事のIT企画室。入社3年目のエンジニアであるA君は腕まくりをしてパソコンの前に座り,企画書作りに没頭していた。IT企画室では先日,セキュリティ・インシデントに対応する組織内CSIRT(シーサート)の「BP-CERT(サート)」を作ることにして,A君がその準備作業を担当することになったのだ。
一心不乱にキーをたたくA君に,先輩エンジニアのBさんが声をかけてきた。
Bさん:がんばってるわね。それで結局,BP-CERTの件はどうなったの?
A君:S課長から簡単な企画書を作ってみろと言われたので,それを今作っているんです。
Bさん:順調に進んでる?
A君:めちゃめちゃ苦労してます(苦笑)。この間お話したJPCERT/CC(ジェーピーサートシーシー)の「CSIRTマテリアル」を見ながら作っているんですが,文書量が多いし,内容が僕には難しいんですよね。
Bさん:企画書には,どんなことを書いているの?
A君:「CSIRTマテリアル」の「組織内CSIRTの活動」という部分が僕にもわかる内容だったので,それをベースに「BP商事のCSIRTはかくあるべし」という感じでまとめようと思っています。BP-CERTはそもそも何をするチームなのか。それからサービス対象は誰か,つまり誰のために活動するのか。そしてBP商事の社内ではどんな位置付けなのか,みたいなことを書いてます(図1)。見せ方としては,BP-CERTの社内における位置付けを組織図で示すとわかりやすいんじゃないかと思ってるんです。
Bさん:なるほどね。ところで,このサービス対象というところに書いてある「Constituency(コンスティトゥエンシー)」って単語は聞いたことがないんだけど,どういう意味?
A君:僕も初めて聞いたんですけど,本来の意味は「選挙区」,「有権者」,「顧客層」または「得意先」なんです。CSIRTのサービス対象者を指す用語として使われているそうです。BP-CERTのConstituencyは,BP商事の社員ってことになりますね。
Bさん:それだけじゃないんじゃない?
A君:えっ!?
Bさん:お客様にかかわるインシデントだって,当然扱わないといけないんじゃないかな。
A君:あっ,そうか。社内のことしか考えていませんでした。ちょっと急ぎ過ぎたかなぁ。
Bさん:ま,とにかく根を詰め過ぎて体を壊さないようにね。
A君:はいっ!
社内各部署は組織変更に納得するか
A君は再びパソコンに向かい,企画書作りに精を出した。企画書が出来たときには,すっかり日が暮れていた。「できたっ!」と威勢よくいすから立ち上がったA君はBさんに「早速,課長に見せてきまーす」と言い残し,出来立てほやほやの企画書を持って意気揚々とS課長の机に向かった。
「オッ,出来たか。じゃあ早速説明してもらおうか」と笑顔で向き直ったS課長だったが,A君の説明を聞くうちに表情が険しくなっていった。一通り説明が終わると,S課長はA君におもむろにこう尋ねた。
S課長:A君,企画書のポイントはこの組織図(図2)だよな?
A君:はい。IT企画室が,販売事業部だけでなく全社的なセキュリティ対策について検討する役目を任されているわけですよね。それであればいっそのこと,IT企画室を組織内CSIRT,つまりBP-CERTにして,社内全体を統括するようにすれば話が早いかなと思いまして。
S課長:確かに君の言うことは理想論としては間違っていないと思う。しかし,こういう体制を作ったところで,機能すると思うか?
A君:と言いますと?
S課長:社内で発生したセキュリティ・インシデントを,この体制でBP-CERTがちゃんと把握できるようになるとは思えないんだ。
A君:う~ん,なぜでしょうか?
S課長:今の状況をよく考えてみろ。確かに,IT企画室はBP商事社内のセキュリティ対策を検討する役目を担っている。だから,社内で発生したセキュリティ・インシデントについて把握しておく必要があるということは知っているよな?
A君:はい。
S課長:半年くらい前,法人販売部で社員が持ち込んだUSBメモリーからウイルスが広がって,あそこの部署のパソコンが全滅したのを覚えているか。あのときのことを振り返ってみると,IT企画室がBP-CERTになっても,セキュリティ・インシデントに対処するどころか,把握することすらできるとは思えない。別の名前にして組織上のポジションを変更しただけでは,何も変わらないよ。
