もはや待ったなし、危機管理の決め手「CSIRT」構築：セキュリティ強化塾（7/7 ページ）

[キーマンズネット]

CSIRT運用の注意ポイント

　いずれにせよ、社内やグループ企業および外部のCSIRTなど関連する組織や機関との情報交換がスムーズにできることが何よりも重要だ。このためには日本シーサート協議会や、ISAC（Information Sharing and Analysis Center、セキュリティ情報共有組織）、あるいはそれに類した業界内コミュニティーなどに参加して、企業の壁を超えた情報交換が行えるようにしておくことが勧められる。

　自社のセキュリティ対策は機密事項とされることが多く、外部に内部情報を伝えることを恐れるあまり情報交換できないケースが見受けられるが、こうしたコミュニティー内には、「ここだけの話」とする暗黙の了解、聞いた情報は外部には公開しないなどのルールが存在する。モラルを破る者は信頼を失い、情報交換してくれなくなるなど、コミュニティーから排除される可能性もあるので注意が必要だ。つまり、過度に警戒せずに交流する方がセキュリティを強化することにつながる。

　緊急対応やリスク管理において、注意しておきたいのは「普段からできていないことは、いざというときにもできない」ということだ。体制づくりとともに、本当に攻撃被害を受けたときを想定した運用法も用意し、普段から訓練をしておくことも重要だ。運用を考えるときに、完璧な手順書作りから始めることが多いが、それよりもどういう形で業務を動かすかを実地に試してみることを先にすることをお勧めしたい。その実施した結果を手順書に反映していくことが重要となる。

　また、業務兼任になることが多いCSIRTスタッフの負担を軽減することもぜひ考えてほしい。日本年金機構事件でも業務兼務のセキュリティアドバイザーが他の仕事に忙しく、職責を果たせる状況になかったことが一因となった。スタッフにはセミナー受講やセキュリティ学習などの教育サポートが必要であり、情報収集のための出張やトレーニングのためのコストも必要である。

　以上、今回は日本年金機構事件を教訓に、CSIRT構築の意義と作り方の基礎について解説した。CSIRT構築や運用に関連する資料はJPCERT/CCのWebページに多数公開されている。また日本シーサート協議会にも参考となる資料が多数あるので、ご参照をお勧めする。