このように、こうした組織は非常に有益であり、支援サービスはコストさえ見合えば、それらの構築や運用を小規模な組織においても容易にしてくれるすばらしいサービスだと思います。
しかし、特にインシデントが実際に発生した場合の「ハンドリング」の部分については、単に構築や運用が困難な部分を外部に委託して組織内CSIRTを設置するだけでは解決できない問題があります。
インシデントの対応に必要な内容を大きく分けると、このようになります。
- 事前のインシデント対応プランニング
- インシデントの検知(自己もしくは外部からの通報)
- 発生インシデントの内容分析と対応計画の策定
- 対応策の実施、外部への報告と連携、(必要に応じて)情報公開
- 再発防止策の検討
このうち、特にインシデントの発生以降の行動に関しては、何よりもその迅速さが重要なカギになります。コトは1分1秒を争います。
必要なのは即時の意思決定
組織内CSIRTやSOC、インシデントレスポンスサービスなどの存在は、これら各々の処理速度を向上してくれるだけでなく、より選択の幅も広げてくれるでしょう。しかし、いくら良い対応でも、そこに「GOサイン」が出なければ次の段階にはすすめません。
要するに、組織内CSIRTなどの有無に関係なく、インシデントハンドリングには「即時の意思決定」が必要不可欠なわけです。これがないのでは、いくら良い準備をしても対応が遅々として進まず、結果として被害を拡大してしまう。こうした事例は多々存在します。
現場での危機感が意思決定の場に伝わらないもどかしさというのは、程度の差こそあれ誰しも感じたことがあるのではないでしょうか。例えば阪神淡路大震災の際には自衛隊の部隊が出動要請を待ち切れずに出動したケースもあるそうですが、それでも到着が遅くなってしまったことが辛かったという話を聞いたことがあります。現場での即断即決が必要な場面は必ずあり、特にこうしたインシデント発生にまつわる意思決定は、わずかな遅れが命取りになりかねません。
もちろん、分析が中途半端な状況でいたずらに一般へ情報公開してしまっては、関係者に無用な混乱や過剰な不安を与えてしまうため、単に早ければいいというわけではありません。情報の整理、全体像とその緊急度や被害の把握、情報を伝えるべき相手のリストアップなど、必要な情報がそろい次第、迅速に行動を決定し指示を下す。この速度が重要なのです。
インシデントが発覚してから何カ月も意思決定が下されず(結果としてその間は外部に事実を公表せず)、数カ月たってようやく被害者(顧客)に公表する、などという事例もありますが、そういう対応をした組織が受ける被害は、発生したインシデントによる直接被害よりもはるかに大きなものになります。
