ここはBP商事のIT企画室。入社3年目のエンジニアA君は,昨日参加した日本シーサート協議会の「CSIRT(シーサート)入門」セミナーの内容を,上司のS課長と先輩のBさんに報告していた。特にセミナーの講師のN氏からアドバイスしてもらった「仲間作り」について,A君は熱く語った。
S課長:なるほど「仲間作り」か。
Bさん:確かに,まずできるところから手を付けるというのは現実的な考えかも。
A君:そうなんです! まずCSIRTありきで考えないというS課長のご意見と本質的に一緒ですし。
S課長:それでは,まず情シスに相談に行ってみるか?
A君:はい。それで,情シスにも顔が利くBさんにも一緒に行ってもらいたいんですけど。
S課長:そうだな。Bさん,ちょっと手伝ってやってくれ。
Bさん:はい。では,今から情シスのJさんにアポを取ってみます。
その日の午後,A君はBさんと情シスのJさんのところに出向いた。A君は「CSIRTとは何か」から「仲間作りの必要性」まで,一通りJさんに説明した。時に熱くなりすぎるA君をBさんがうまくフォローしながら,Jさんに伝えたいことは何とか伝えられた。
Jさん:お話はわかりました。私もCSIRTの話は聞いたことがあるので,興味がないわけではないんです。でもねぇ。確かに我が社の今のインシデント対応体制が充分でないことはわかるんですが,情シスとしてはそこまで必要性を感じてないですし,それでなくても人手が足りない今の状況でこれ以上仕事を増やしたくないというか…。
A君:うーん,そうですか…。
情報共有できないから再発する
A君は,落胆の色を隠せなかった。仲間作りは最初の段階で頓挫かとあきらめかけたそのとき,A君と同期の女性エンジニアKさんが声をかけてきた。3人の話をそばの席でたまたま聞いていたらしい。
Kさんは情報システム部で最も若いエンジニアで,基本的なインシデント対応作業を担当している。例えば,社員の使用しているパソコンがウイルスに感染した場合の復旧作業などだ。
Kさん:あのぉ,盗み聞きするつもりはなかったんですけど,どうしても気になってしまって…。
Jさん:何だよ急に!
Kさん:すみません。でも今のAさんのお話に関して,どうしてもお話ししたいことがあるんです。
A君:えっ,何ですか?
Kさん:(Jさんに向かって)お話ししてよろしいですか?
Jさん:別に構わないけど。
Kさん:私には,社内全体のインシデント対応体制がどうとか,そういった大きな話はわからないんですが,インシデントに現場で対応している私としてはどうしても何とかしてほしいことがあるんです。
A君:どんなことですか?
Kさん:先日のUSBメモリーでウイルスに感染してしまったインシデントは,Aさんもご存知ですよね?
A君:はい。
Kさん:あれはたぶん防げたはずです。
A君:えっ?!
Kさんによると,先日のUSBメモリーによるウイルス感染の1週間ほど前に,実は全く同じインシデントが発生していたという(図1)。そのときは,感染したパソコンが1台で,異常に気がついたユーザーがすぐ情シスに連絡してきたため,大きなトラブルにならずに済んだのだそうだ。