CSIRTの構築が急ピッチで進んでいる。業種を超えたCSIRTの連携機関である日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)には、2016年1~4月だけで33チームが加盟した。ベネッセコーポレーションの情報漏洩が判明した2014年の21チーム、日本年金機構の年金情報流出が起きた2015年の45チームを上回るペースだ。
NCA:日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)
● 日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会:NCA)の加盟チーム数
(出所:NCAのウェブサイトのデータを編集部が集計・作成)
[画像のクリックで拡大表示]
この勢いを経済産業省が2015年12月に公表した「サイバーセキュリティ経営ガイドライン」が後押しする。ガイドラインは経営者がサイバーセキュリティに主体的に関わる必要性を国として初めて提示。経営者がCISO(最高情報セキュリティ責任者)に指示すべき10項目の1項目に「CSIRTの整備」を挙げた。
JFE-SIRTで長を務めるJFEホールディングス企画部の新田哲氏(右)とIT施策を担当する同部の酒田健氏
事実、2015年6月にCSIRTを立ち上げたJFEホールディングス企画部の新田哲氏は「今年1月のNCA加盟はガイドライン公表がきっかけ」と話す。機運高まるCSIRTだが新しい取り組みだけに構築・運用のノウハウは乏しい。「イメージがわかない」「作ったはいいが機能しない」といった声もある。以下、先行7社の取り組みを見ていこう。
●CSIRTを活用する大手企業の例
[画像のクリックで拡大表示]