「CSIRT」というと、多くの人は「セキュリティ専任の部署」を思い浮かべる。企業内に新しい部署を作ることは容易ではないだろう。だが心配は無用だ。CSIRTはバーチャルな組織体で十分なのだ。重要なのは組織の“形”ではなく、経営陣に認められているかどうかである。

[画像のクリックで拡大表示]

 CSIRTの必要性は分かっても、実際に構築するとなると大変そうだ。今回取材した企業の多くも、構築前はハードルが高いと考えていたという。

 だが、勘所さえ押さえれば、それほど大変ではない。実際に構築すれば、構築の苦労よりも、構築したことで得られるメリットの方が大きいと口をそろえる。

CSIRTは百社百様

 CSIRT構築の勘所として、今回取材した企業の多くが挙げたのが、形にこだわる必要はないということだった。言い換えれば、CSIRTには決まった形はないということだ。

 「多くの企業のCSIRT構築を支援した経験から言うと、一つとして同じ形態のCSIRTはない。企業によって、最適なCSIRTの形態は異なる」(JPCERT/CCの満永氏)。「いろいろな人に話を聞いて、CSIRTは百社百様であることが分かった。決まった形があると思っていたので、目からうろこが落ちる思いだった」(ジャパンネット銀行の岩本氏)。

 CSIRTを構築する目的は、独立した部署を持つことではない。ここまで述べたように、インシデント対応を円滑に実施するための組織体を持つことだ。このため、CSIRTを兼任する社員で構成される、バーチャルな組織でも十分である。「今までに構築を支援したCSIRTの形態としては、専任組織よりもバーチャルな組織の方が多い」(満永氏)。

 バーチャルな組織にする場合、特定の部署の社員だけをCSIRTにアサインするケースと、様々な部署に所属する社員をアサインするケースがある(図7)。

 前者は特定の部署内にCSIRTを置くイメージ、後者はCSIRTを部署横断的な組織にするイメージだ。「専任のスタッフで構成する専門部署のCSIRTは『消防署』といえる。一方、バーチャルな組織のCSIRTは『消防団』だ。いつもは通常の業務をしていて、何かあると集まって対応する」(大成建設の北村氏)。

図7●CSIRTの実装方法の例
図7●CSIRTの実装方法の例
形態は様々、最適解は企業によって異なる
[画像のクリックで拡大表示]

 バーチャルな組織の方が構築しやすいという声は多い。「バーチャルな組織なら、企業の組織体制の変更を伴わずに構築できる」(大成建設の柄氏)。「専門部署を作ろうとすると、スタッフ集めに苦労する。CSIRTのメンバーになれるような人員は現在の部署が手放さないので、異動させることが難しい」(凸版印刷ICT統括本部 ICT戦略室 室長の藤沢修氏)。