社内外の窓口となるCSIRTを構築しても、肝心のインシデント情報が寄せられなければ意味がない。そのために必要なのが、社員から頼りにされる存在になること。一朝一夕にはいかない。日々の地道な活動のみがそれを可能にする。
せっかくCSIRTを構築しても、適切に運用しなければ意味はない。そこで最後のパートでは、先達の声を参考に作成した「運用の掟」を解説する。
最も多かった声は、CSIRTのサービス対象者となる社員などの信頼を得ることだ。経営陣のお墨付きを得た組織を作り、インシデントの対応ルールなどをしっかり定めても、発生したインシデントが報告されなければCSIRTは動きようがない。「『CSIRTを作りました』と言っても、それだけでは情報は集まってこない」(ディー・エヌ・エーの渡辺氏)のが実情だ。報告されるために必要なのが信頼関係である。信頼を得るのは難しかったと、各社の担当者は口をそろえる。
一朝一夕には信頼は得られない。信頼を得るために重要だったのは、「社内から相談や報告が寄せられた場合の対応」(渡辺氏)だという(図9)。良い対応を繰り返すことで初めて信頼が得られ、「また相談しよう」と思ってもらえるのだ。
図9●CSIRTスタッフの良い対応と悪い対応の例
インシデントを報告しやすい環境を作る