「CSIRTを構築しようと思ったきっかけは、新聞やテレビで大きな脆弱性が報道されたことだった」――。東京・目黒で開催された「第1回 情報セキュリティマネジメントSummit」の講演で、ジェーシービー(JCB) システム企画部システムリスク統括グループ担当の齋藤 弘一次長は、同社におけるCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)構築の経緯をこのように振り返った。
齋藤氏は、Q&Aでポイントを解説した。まず「なぜCSIRTを構築しようと思ったのか」。「2014年4月以降に明らかとなった、OpenSSLのHeartbleed脆弱性や、Apache Struts2の脆弱性は当社では問題は発生しなかった。しかし、全社横断の確認・報告や組織的な現場支援という面でスピード感が欠けた。JCBにおいては、これが契機となった」(齋藤氏)という。
次に、「何が目的だったのか」。これについて齋藤氏は、「誰がやっても最適な対応をとれる手順が必要。そしてプロアクティブに対応したかった。これが、CSIRT構築の目的」と話す。
こうした目的の整理が重要と、齋藤氏は指摘する。「CSIRTに求められる機能は、企業によって異なる。情報共有に徹するCSIRTもあれば、テクニカルな対応を全て実施するCSIRTもある」(齋藤氏)。
三つめのQ&Aは「CSIRT構築のポイントは何か」。齋藤氏はポイントとして、「自社のCSIRTにどのような機能が必要か見極める」「既に社内にある機能は有効活用する」「不足している機能は構築する」を挙げる。
「何でもできるCSIRTを最初から作れるわけではない。順次構築していくことをお勧めする」(齋藤氏)。