上司に「CSIRTをやれ」と言われたら--座談会（5）

　サイバー攻撃による情報漏えいなど、セキュリティインシデントが発生した際に対応するCSIRT（Computer Security Incident Response Team）の有効性が認識され始めている。

　CSIRTに焦点を当て、実際に自社内にCSIRTを立ちあげたユーザー企業に集まってもらい、座談会を開催した。今回は第5回（第1回）（第2回）（第3回）（第4回）。

　参加者は以下の通り。

• デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス シニアマネージャー 岩井博樹
• 株式会社バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課アシスタントマネージャー堤光伸
• 株式会社ディー・エヌ・エー システム本部セキュリティ部部長DeNA CERT 茂岩祐樹
• 大成建設株式会社 社長室 情報企画部部長 Taisei-SIRTリーダー北村達也
• 一般社団法人 JPCERTコーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長兼 早期警戒グループ担当部門長 村上晃

「CSIRTを作れ」と言われたら何から行うべきか

　 ZDNet：CSIRTは企業によってそれぞれ想像するものが違うのですが、上司に「CSIRTを作れ」といわれたら、担当者はまずなにからはじめたらいいと思いますか。

大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏

　村上氏：私だったらまず、リソースと権限と予算を全部くれるのですか、と聞きますね。金はないけどCSIRTを作れといわれたら、金のない範囲でしかできませんとなってしまいますよね。

ディー・エヌ・エー（DeNA） システム本部 セキュリティ部 部長 DeNA CERT 茂岩祐樹氏

　北村氏：小さなインシデントでも発生すれば、何をやらなければいけないか、どこが何をしなくてはいけないのか、それこそCRO (Chief Risk Officer）が判断するのか、広報が外に対して何をやるのかなどが、わかると思うのですね。それでシミュレーションしてみるという形だと思います。

　だからPCを紛失したとき、その中に個人情報が入っていたり、会社の情報が入っていたらどう動くかとか、そうやって考えていくしかないでしょうね。そういうことをやってみるということもひとつの進め方としていいのかなと思います。

　茂岩氏：何のために作るのかという確認が必要ですよね。内部犯行が気になってCSIRTを作りたいのか、外から情報を盗もうとするサイバー攻撃なのか。それによってやるべきことが決まってくると思うのですが、セキュリティを学んでいない人は多分、何をやったらいいのかわからないということだと思うので、セキュリティを勉強するということですかね。

　私も最初は攻撃について勉強しました。インターネットでも本でも、勉強するリソースはあるので、大体の知識を付けて自分たちが具体的にどんなことをやらないといけないのかということを具体的にプランし、それにいくらかかるのか、どういう人が必要なのかを確認していくと。あとはCSIRTを作るなら、「CSIRTハンドブック」を読むということは大切ですね。マテリアルはいっぱいあるので、CSIRTを構築した人の講演を聞きに行くというのも、ひとつの方法ですよね。