インシデント対応を取り仕切るCSIRTの構築が相次いでいる。本連載の最終回となる今回はCSIRT運営の勘所を解説する。現場からの感謝を引き出して多忙なメンバーのモチベーションを高め、経営判断に資する適切な事故報告で経営層の信頼を得ていこう。
最終回となる今回は、CSIRT(セキュリティ事故対応チーム)を効果的に運営していくためのヒントを、Recruit-CSIRTの責任者である筆者の経験を基に解説します。
CSIRTの役割や組織、構成メンバーなどは企業や団体で千差万別です。あらゆる組織に共通して役立つヒントとは言えませんが、CSIRTの運営に悩む読者の一助になれば幸いです。
組織に合ったCSIRTを考え抜く
日本の組織がCSIRTの構築を検討する際、最初に参照するのはJPCERTコーディネーションセンター(JPCERT/CC)や日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)などが公開する各種資料ではないでしょうか。公開資料は汎用的であり、CSIRT構築の意義やプロセスを把握するには有用ですが、一方で、実際に所属組織でどのような人材を集め、どのようなチームを作ればいいのかという具体的な「答え」は書いていません。
所属組織でうまく機能するCSIRTを構築するには、経営層や現場が持つセキュリティに対する温度感、情報システム部門の成熟度や社内での立ち位置、CSIRTに配置できそうな候補メンバーなど、様々な要素を考慮しなければならないからです。CSIRTが千差万別なのは組織が千差万別だからであり、そうであるからこそ組織に合ったCSIRTづくりが欠かせません。
それにはCSIRTを率いるリーダーや、後ろ盾となる経営層の想いを大切にすべきです。強い想いが優秀な人材を引きつけたり、メンバーや社内外の関係者との結束を強めたりするからです。今、CSIRTの必要性は国が後押ししています。経済産業省は2015年12月に公開した「サイバーセキュリティ経営ガイドライン」で、金融庁は2015年4月に改訂した「金融検査マニュアル」でそれぞれCSIRTの設置を求めるなど、社会や監督官庁からの要求が強くなってきています。
ただ、外部からの要求に応えるためだけにCSIRTを作れば、いずれ運営に行き詰まるでしょう。この機を生かして自組織においてCSIRTが「どうありたいか」「どうあるべきか」を真剣に議論し、考えるべきです。これはアウトソースできない仕事です。
もちろん、CSIRT構築はどこの組織も慣れていませんのでコンサルタントなど外部の力に頼るケースもあるでしょう。その際もリーダーや経営層の想いをしっかり伝え、想いを実現するCSIRTを構築できるよう、コンサルタントに働きかける必要があります。
現場からの感謝がメンバーを支える
セキュリティ事故(インシデント)対応はとてもハードな業務です。インシデントによる被害を最小限にとどめるには、事態の迅速な収束が欠かせません。
時には事態が収束せずに何日もハードワークが続くことがあります。サービス停止などで迷惑を被った顧客からのクレームや、経営層や組織長からのプレッシャーなどが重なり、精神的にもきつい状態が続くケースもあるでしょう。
短期的には成果や報酬で報われるメンバーもいますが、中長期的にモチベーションを維持し続けるためには工夫が必要です。メンバーのモチベーションを維持し続けるには、インシデントが発生した利用部門からの「感謝」が何よりも重要だと実感しています(図1)。これがあるからこそ、非常事態を乗り切った後に達成感が芽生え、前向きに次のインシデントに備えらえるのです。
