実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス(業務)」について解説した。第2回となる本稿では、CSIRTに求められる「人(組織体制と要員)」について解説する。
CSIRT組織の作り方--組織における位置付け
CSIRT組織を立ち上げる際は、企業組織のうち、どこにどのようにCSIRTを位置付けるかを考えることになる。具体的には、設置する事業体や部署などを検討することからスタートする。筆者が経験してきたパターンを以下にいくつか例示する。
事業体
- ホールディングス
- 事業個社
- IT子会社
- 外部委託先 など
部署
- 経営直轄
- 経営管理部門
- リーガル部門
- IT部門 など
ここでの解としては、本稿のテーマにもあげているCSIRTの「実効性」をいかに確保するかを考えることである。ここで考え方を誤ると、「なんちゃってCSIRT」への入口に足を踏み込むことになる。
ここでは、筆者の経験から、2つの検討軸を例として紹介したい。1つ目は、「経営」と「IT」への距離である。「CSIRT」から「経営」への距離が遠過ぎると、そもそものCSIRTの職責が担保できないことや、有事の際の重要な判断が遅れるなどのリスクがある。
一方で、「CSIRT」から「IT」への距離が遠すぎても、現場で対応するIT要員との意思疎通が滞る場合や、そもそもインシデントの根本原因や影響度を見誤るなど、IT面での適切な対応が取れないリスクがある。
2つ目は、各「職能」との位置付けである。有事の際に直接的な対応を担う「IT部門」、対外的なブランディング面で対応する「広報」、一般的に監督官庁や警察との窓口になる「総務部門」など、CSIRTと連携してインシデント対応を担う各職能との位置付けについて、CSIRTと効果的なエスカレーション体制が組めるよう考慮する必要がある。
以上、このような検討軸を整理し、自社のCSIRT組織とはどういうものであるか検討することをお勧めする。最も「実効性」のあるCSIRTの位置づけが見えてくるはずである。
