連載
もはや待ったなし、危機管理の決め手「CSIRT」構築:セキュリティ強化塾(5/7 ページ)
日本年金機構の漏えい事故に学ぶ。予防から再発防止対策までをつかさどる「CSIRT」の意義と構築のための基礎知識を解説。
CSIRTの作り方:まずはCSIRT発足宣言を
CSIRTをこれから作る場合は、組織をいきなり作ることは難しいこともある。既に担当者なども決まっているのであれば、まずは1つのプロジェクトとして開始してみるのもあり得る。ただし、経営層や管理層に対して、現在の状況を十分に理解してもらう必要がある。また、組織化を意識して活動する必要性がある。
「チーム」とは言いながら実質1人体制でも構わない。また専任でなくても良い。外部のCSIRTやセキュリティ機関などに窓口があることを知らせ、社内でも何か起きた時に最初に相談できる相手を示すことが肝心だ。
社内外の情報のハブとしての機能は、必ずしもセキュリティ専門家が担当する必要はない。実際に少数の大企業を除いて専任者を任命できるケースは少ない。CSIRTと名の付く組織を新設し、外部と連携することにより所属する人のモチベーションを上げる効果もある。
ただし、CSIRTを運用継続するには1人体制では無理があるのも確かだ。だからと言って、直接業務部門と緊密な連携ができない外部サービス業者を利用するのも難しい。万一のリスクに対してどの程度の保険的な投資ができるかを含め、CSIRTへのリソース配分は経営的な課題として考えなければならないだろう。
Copyright © ITmedia, Inc. All Rights Reserved.