一連の活動は実質CSIRTだった
その後,情シスは代替のWebサーバーを用意して,代替サーバー上とBP商事の会社案内サイトに,調査結果を掲載した。改ざんされた状態は約12時間続いており,その間にもアクセスはあった。しかし幸いなことに,当該サイトへのアクセスでウイルス感染したとのクレームは来なかった(図3)。
この騒動で,IT企画室と情シスは週末を返上して対応にあたった。その間も,Tさんは技術に関する相談に乗ってくれた。2次被害は恐らく発生していないだろうと,ほぼ安心できる状態になったのは日曜の夕方だった。
Jさん:とにかく被害が拡大しなくて良かった…。
Bさん:対応が早かったのが功を奏したわね。
Jさん:それもこれもTさんのおかげですね。Tさんのアドバイスがなかったらどうなっていたか…。
Kさん:あの場ですぐにTさんに相談したJさんの判断も良かったと思います。
Jさん:最初は私も販売事業部のサーバーだから,それをSI事業部のTさんに相談するのはどうかと思ったんだ。でも,そんなこと言ってらんないと思って。あの電話がかかってきたときの情シスは,完全にお手上げ状態だったんだよ。恥ずかしいことなんだけどね。
A君:とにかく,これでTさんを仲間に入れることの重要さがわかりました。それに今回僕たち4人を中心に,IT企画室と情シス,そしてTさんが,実質的にCSIRTとして機能したといえるのではないでしょうか(図4)。
そこに販売事業部長への報告を終えたS課長がやってきた。
S課長:みんなご苦労さん!明日にもサービス再開ということで事業部長と話がついた。
Jさん:了解です。もう準備はすべてできています。
S課長:今回の君たちの対応については,事業部長も感心していたよ。SI事業部のTさんにも,販売事業部から正式に礼を伝えるらしい。
A君:できれば,これを機にCSIRT構築の後押しをしてもらえるとうれしいんですけど。
S課長:その可能性はあると思うぞ。このタイミングで今回の実績とCSIRTの必要性を絡めて経営陣に説明すれば,すんなり認められる可能性は高いんじゃないかな。
Bさん:課長のおっしゃる通りよ。私も手伝うから資料を作りましょうよ。
Jさん:私も手伝います。
Kさん:私も!
S課長:よし!その方向で頑張ろう!
BP商事の全社的インシデント対応体制の整備がようやく本格的に動き出した。
●独立した部署でなくても,実績を残せば実質的にCSIRTとして機能するチームを作れる。
