前回解説したように、セキュリティ担当者を置くだけでは、企業としてのインシデント対応としては不十分になっている。

 社員が利用しているPCへの“ちょっとした”ウイルス感染などには対応できても、企業Webサイトへのサイバー攻撃や、ゼロデイ脆弱性といった最新の脅威には、部署内でアサイン(指名)された「個人」の担当者では対応しきれない。経営陣に認められた「組織体」が必要だ。それが「CSIRT(シーサート:Computer Security Incident Response Team)」である(図3)。

 CSIRTのミッションは、その企業を代表する、公認の「セキュリティチーム」として、被害を最小限に抑えることだ。

図3●企業における「CSIRT」の役割
図3●企業における「CSIRT」の役割
経営陣に認められた“公認チーム”が不可欠
[画像のクリックで拡大表示]

 そのためにCSIRTは、「社内外に対する公式な窓口になる」(大成建設 社長室 情報企画部 部長(担当)の北村達也氏)。経営陣からの“お墨付き”があることで可能になる。社内において、セキュリティに関する問題が発生した場合には、すぐにCSIRTに情報を集約することを正式な社内規則にしておく。そうすることで、「社内のインシデント情報を集中管理できるようになる」(北村氏)。

 社外からインシデント情報が寄せられた場合も、CSIRTに連絡することを周知徹底しておく。そうしておけば、代表番号や別の部署にインシデントの第一報が入った場合でも、すぐにCSIRTに連絡が行くようになる。

 また、対外的にCSIRTへの連絡先を公開しておけば、一般のユーザーやパートナー企業などが気付いた、その企業に関するインシデントを直接報告してもらえるようになる。実際、CSIRTのメールアドレスなどを公開している国内企業は多い。

 経営陣が認めているので、セキュリティに関する情報を、他の企業や組織と共有することも可能になる。その企業の公認チームであるために、「相手からも信用してもらえる」(ジャパンネット銀行 IT統括部 システムリスク管理グループ 部長代理の岩本俊二氏)。

 さらに、JPCERT/CCのようなセキュリティ組織に、インシデント対応をサポートしてもらう場合にも連携しやすくなる。