2016年3月11日（金）

 危機に負けない兼務CSIRT

 ALSOK 開発企画部 ソリューション室
 課長代理　伊藤　直喜

　
　
　サイバーセキュリティに関する事故対応の専門組織であるCSIRTを設置する企業が増えています。上場企業の41.8%がCSIRTを含め何らかの対応体制を構築しているというデータ（NRIセキュアテクノロジーズ社調査）もあります。そのCSIRTの形態については、専任者で構成している例は少なく、60%は「兼務者が過半数」だそうです。このことが悪いと言いたいわけではありません。
　しかし、CSIRTは突発的に発生する事故に対応することがミッションであるため、いざというときに機能しなければ意味がありません。一般に「危機対応」は発生頻度が低いため経験者も少なく、対応そのものの専門家はほとんどいないとも言われています。
　最近は、サイバーを事前の対策で完全に防ぐことはできないという考え方が広がっています。対策は講じるにしても障害等をゼロにすることは困難なので、危機対応能力が重要となります。危機対応は実践の機会が少ないので、平時の訓練や演習が重要です。
　訓練・演習と言っても様々な種類があります。規程類の読み合せや机上でのシミュレーションから、実戦形式の演習まで選択肢は幅広くあります。もし、現在このような取組みが行なわれていないのであれば、難しく考えず簡単なものから始めて、組織の文化として根付かせることが重要ではないかと思います。組織の中で危機対応に当たるメンバーは時間とともに変わる宿命にあります。何もしなければ危機対応能力が低下していくことが容易に考えられます。
　訓練・演習をするにあたって、シナリオを考えられないという声も聞かれます。そのような場合、対象範囲を絞る方法もあります。例えば、「内部の情報漏えいが発生した際の組織的な情報連絡や意思決定のルートの確認」を対象とすれば、シナリオとしては、漏えいが発覚する状況を想定すればよいでしょう。大事なのは訓練で達成する目標を定め、訓練結果を検証してPDCAサイクルを回し、組織の危機管理能力を養っていくことです。訓練を通じてブラッシュアップした対応ルールは実際の危機対応において大いに役立つものになるでしょう。
　かく言う弊社も、CSIRTのメンバーは兼任であり、平時の訓練が重要であるとの認識のもとに危機対応力を段階的にレベルアップするよう取り組んでいます。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。