新人営業のD太君と先輩SEのM子さんは今日、情報セキュリティをテーマとした展示会にやってきました。ドラッグストアを展開しているV社でIT担当をしている、Y主任とCさんに出会いました。社長から「情報セキュリティ対策を強化しなさい」という指示を受けたとのこと。「経営公認のインシデント対応組織『CSIRT』を設置しましょう」と提案しました。
Y主任 おっ、D太君とM子さんじゃないか。ちょうどよかった。
D太 何がちょうどいいんですか?
Y主任 実は、社長から直々に「情報セキュリティ対策を抜本的に強化してほしい」という指示を出されたんだ。
D太 御社は、ネットでも商品を販売していますよね。Webサイトが攻撃されて顧客情報が漏洩したら、大変なことになりますね。
Cさん そうなんです。D太さんとM子さん、社長が満足するようなアイデアはありませんか?
M子 CSIRT(シーサート)を設置しませんか? ちょうど、セキュリティ関連団体のスタッフで、CSIRTに詳しいAさんと情報交換をしていたところです。この喫茶コーナーで一緒にコーヒーを飲みながらレクチャーしてもらいましょう。いいですよね、Aさん。
Aさん もちろんです。CSIRTはComputer Security Incident Response Teamの略で、情報セキュリティ対策を専門とする組織です。
Y主任 CSIRTは何を行う組織なのですか?
Aさん 会社がサイバー攻撃を受けたときにその原因を特定し、ITシステムを復旧させる対策を打つことはもちろん、情報セキュリティに対する脅威に関する情報を収集したり、社内から情報が漏洩しないよう社員を教育・啓発するなど、総合的な情報セキュリティ対策を考案・実施すること。それがCSIRTの業務です。
M子 付け加えると、CSIRTは経営層が公認した組織であり、経営者にインシデント(情報セキュリティ事故)の内容について報告し、インシデントが起きたあとに会社として取るべき策を進言します。
Y主任 多くの企業では、IT部門のスタッフを情報セキュリティ担当に就けているように思います。CSIRTという情報セキュリティ専門の組織を設置するメリットは何でしょうか。