もはや待ったなし、危機管理の決め手「CSIRT」構築：セキュリティ強化塾（6/7 ページ）

日本年金機構の漏えい事故に学ぶ。予防から再発防止対策までをつかさどる「CSIRT」の意義と構築のための基礎知識を解説。

[キーマンズネット]

CSIRTの作り方：種々の組織構成

図3 代表的なCSIRT構成例（出典：JPSERT/CC）

　1人であれ複数人のチームであれ、組織構成は、特に意思決定の迅速化を図るには重要だ。図3は代表的な構成例だ。

　最高意思決定機関の直下にCSIRTが位置していることに注目してほしい。緊急対応ではコンピュータのフォレンジックが必要になることや、犯罪に巻き込まれた場合には法執行機関によるIT機器の押収もあり得る。その際にはCSIRTやCISOでも判断できない局面があるかもしれない。業務部門とCISO、経営層との間で迅速かつ適切に調整を図るには、このようなモデルがふさわしい。

　また、CSIRTを部門内に設置する企業も多い。これは歴史ある企業に多く、セキュリティをトップダウンではなく現場の草の根のように発展させてきたことと関係がある。これまでIT部門、品質管理部門、研究部門、法務部門などに設置例があり、今後は総務部門にも必要かもしれない。この他、各部門を横断するようにCSIRTを構築する例もある。このような構成の方が横の連携を取りやすい場合もあるだろう。

　図4には、グループ会社の場合の構成例を示す。情報子会社がある場合には情報子会社が親会社やグループ内のCSIRTとなるケース（図4左）や、本社のCSIRTとグループ会社のCSIRTが連携する形態（図4右）がある。親会社と子会社が階層構造を取らずに、各社連携しながら国内・国際CSIRTとの情報交換を行うケースもある。

図4 グループ会社の場合の構成例（左）情報子会社がある場合、（右）階層構造を取る場合（出典：JPSERT/CC）