「『IT-ISAC』がうまく機能しているのは,ITベンダーが社会的責任を果たせるためだけでなく,ビジネスに貢献し始めているためだ」。米Internet Security Systems(ISS)諜報活動担当ディレクタ(Director of Intelligence)のPeter Allor氏は2月28日,ITproの取材に対して,米国IT-ISACの活動について説明した。
IT-ISACとは,米国のITベンダーによって組織される業界団体で,ISSはその事務局。インターネットのセキュリティ問題(脅威)に関する情報共有と分析をおこなうために2001年1月に設立された(関連記事)。Allor氏はISSのCEO特別顧問(Special Assistant to the CEO)を兼任し,IT-ISACの情報技術運営担当ディレクタ(Director,IT-ISAC Operations)も務めている。
米国には,IT以外の業界でもISACが組織されている(国内では,通信事業者やISPなどで組織される「Telecom-ISAC Japan」だけが存在する)。IT-ISACは,他業界(重要インフラ)のISACや政府機関などへも情報提供している。
基本的に,ISACの活動はボランティアである。インターネットのセキュリティを向上するという「ベンダーの社会的責任」(Allor氏)がベースとなっている。そのようなISACを成功させる上で重要なことは「メンバー同士の信頼関係」(同氏)であると強調する。
加えて,「双方向のコミュニケーション,すなわち,ディスカッションが重要である」(Allor氏)とする。あるメンバーが他のメンバーに対して一方的に情報を提供するだけでは,情報共有とは言えないという。そのためIT-ISACでは,ほぼ毎日のように,メンバー同士で会議(あるいは電話会議)を実施している。
ディスカッションが重要であるのは,「情報に付加価値を与えられるため」(Allor氏)。例えば,あるメンバーがセキュリティ・インシデント(セキュリティに関する事件・出来事)情報を提供したとする。その情報だけでは確度や内容が少ない場合でも,他のメンバーと情報交換し議論することで,より確かな情報にすることができる。
このようにして価値が高められた情報は,それぞれのメンバーのビジネスにも有用であるという。「当初は,社会貢献がIT-ISACに参加する動機だった。しかし現在では,適切な情報交換がビジネスに貢献するリアリティを感じ始めている」(Allor氏)。このことが,IT-ISACという取り組みを成功させている秘訣のようだ。
「“社会貢献”や“ポリシー”といったお題目を並べているだけでは,ISACはうまく機能しない。実際の活動(Operation)へ落とし込むことが重要。IT-ISACは,そのことに成功し,うまく回り始めた。しかしここに来るまで,2~3年は試行錯誤を繰り返し,非常に苦労した」(Allor氏)
