ここはBP商事のIT企画室。入社3年目の若手エンジニアのA君は,日本シーサート協議会によるセミナー「CSIRT(シーサート)入門」を受講しに出かける準備をしていた。そこに先輩エンジニアのBさんが声をかけてきた。
Bさん:今日CSIRTのセミナーに行くんだよね? いい話が聞けるといいわね。
A君:S課長から調べるよう言われた他社の状況を聞けるといいなぁ,と思ってます。
Bさん:どんなところから手をつけたらいいかなんてのも聞きたいところね。
A君:はい。しっかり聞いてきます!
セミナーは,ITイベント「ネットワークエンジニアリング倶楽部フォーラム」のプログラムの一つとして開催された。講師は,日本シーサート協議会に加盟している某社の組織内CSIRTのメンバーであるN氏だ。
A君にとって,このセミナーはCSIRTの現場の声を聞く最初の機会だった。ノートをとりながら,N氏の話に熱心に聞き入った。
最初にA君の耳に留まったのは,「CSIRTを新たに構築することが,必ずしも最適解とは限らない」というN氏の言葉だった(図1)。確かに,CSIRTはないよりあった方が良い。しかし会社の規模や「守るべきもの」によっては,改めてCSIRTを構築しなくても,既に存在する関連部署だけで充分に対応できるケースもある。あるいは,既存の関連部署を少し組み替えるだけで事足りる場合もある。つまり,新たにCSIRTを設置することで,既存の“うまく回っているしくみ”を壊してしまう可能性もあるというわけだ。
N氏はこれらのケースを挙げてから,「自社のインシデント対応における問題点を精査し,その上でCSIRT構築の必要性を検討すべき」と説明した。この説明は,先日A君がS課長にBP-CERTの企画書を出した時に返ってきた言葉と同じ内容だった。
