組織内CSIRT（Computer Security Incident Response Team）を作る企業や団体が増えてきたと聞く。企業・団体としてこれまで同様の機能を持ってはいたが、改めてCSIRTとしてインシデント対応を行う体制を整えることは、セキュリティインシデントが増加した現代においてプラスであると考えている。しかしこれまでの短いITセキュリティの歴史の中でよく似た事象が幾度と無く起きていることを忘れてはならない。

コンピュータウイルスが流行り始めた頃、多くの企業がウイルス対策ソフトを導入した。しかし、少なくない経営者がウイルス対策ソフトの導入のみでウイルス対策が出来ると考えていた。効果的にウイルス対策を行うためにはOSを含めた各ソフトウェアの脆弱性対策やウイルス対策ソフト自体のアップデート、感染状況の把握から対策へのフィードバックなど運用にかかる労力が多いにもかかわらず運用対策はおざなりにされ、結果として有効な対策ができていなかったという企業・団体が多かったのではないだろうか。個人情報保護法が施行されればP-Mark取得、セキュリティマネジメントを求められればISMSの取得。あたかもそれらがセキュリティ対策の銀の弾丸のごとく、取得（導入）すればもうセキュリティは万全という気になっていた企業、団体のトップも多かったのではないだろうか。

冒頭にも書いたようにCSIRT設立は歓迎するべきものと考えている。しかし、経営者が安易に「これを作ればセキュリティは大丈夫」、「他所も作っているから我が社も」という動機であればその効果は限定され、意味のないものになってしまうおそれがある。

そもそもCSIRTは各企業により課す役割も割けるリソースも、組織の形態も異なる事が多い。他社の真似では本当の構築はできない。大事なことはセキュリティインシデント発生時（あるいは予防的側面でも）に組織がどのような機能を発揮し、内部向け、外部向けともに的確な対策を迅速にとることである。その辺りを真剣に考え、結果としてCSIRTとして組織化され内部・外部とのコミュニケーションをとることが本来の成り立ちではないかと思う。さらにはそのCSIRT、大事に育てて経験値を積み組織の重要な機関として成長させ、いずれ文化となるようなものになればその企業は信頼に足る企業となるのではないだろうか。期待はつきない。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。