CSIRT構築の最前線--実効性を確保するために

　実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス（業務）」について解説した。第2回となる本稿では、CSIRTに求められる「人（組織体制と要員）」について解説する。

CSIRT組織の作り方--組織における位置付け

　CSIRT組織を立ち上げる際は、企業組織のうち、どこにどのようにCSIRTを位置付けるかを考えることになる。具体的には、設置する事業体や部署などを検討することからスタートする。筆者が経験してきたパターンを以下にいくつか例示する。

事業体

• ホールディングス
• 事業個社
• IT子会社
• 外部委託先　など

部署

• 経営直轄
• 経営管理部門
• リーガル部門
• IT部門　など

　ここでの解としては、本稿のテーマにもあげているCSIRTの「実効性」をいかに確保するかを考えることである。ここで考え方を誤ると、「なんちゃってCSIRT」への入口に足を踏み込むことになる。

　ここでは、筆者の経験から、2つの検討軸を例として紹介したい。1つ目は、「経営」と「IT」への距離である。「CSIRT」から「経営」への距離が遠過ぎると、そもそものCSIRTの職責が担保できないことや、有事の際の重要な判断が遅れるなどのリスクがある。

　一方で、「CSIRT」から「IT」への距離が遠すぎても、現場で対応するIT要員との意思疎通が滞る場合や、そもそもインシデントの根本原因や影響度を見誤るなど、IT面での適切な対応が取れないリスクがある。

　2つ目は、各「職能」との位置付けである。有事の際に直接的な対応を担う「IT部門」、対外的なブランディング面で対応する「広報」、一般的に監督官庁や警察との窓口になる「総務部門」など、CSIRTと連携してインシデント対応を担う各職能との位置付けについて、CSIRTと効果的なエスカレーション体制が組めるよう考慮する必要がある。

　以上、このような検討軸を整理し、自社のCSIRT組織とはどういうものであるか検討することをお勧めする。最も「実効性」のあるCSIRTの位置づけが見えてくるはずである。