CSIRT要員導出のアプローチ--CSIRT業務との関係
CSIRT要員を考える際には、大きくは2つのアプローチがあると考える。1つは「トップダウン」的に、まずサイバーリスクに対処するためのプロセス(業務)を洗い出し、その業務をこなせるだけのリソース(要員)を調達する考え方だ。CSIRTの構想段階では必要となるリソース見積もりを行うことになるが、このアプローチがその際に役立つ。
また一方では、「ボトムアップ」的なアプローチも取りうる。現場での実際としては、まず現状のセキュリティ担当者がおり、その担当者の範囲内で、どこまで業務がこなせるかを考え、業務を絞り込んでいく考え方だ。前者に比べて後者ではやれる業務が限られてくるが、新たなリソース調達を進める時間が節約できるため、早期にCSIRTを立ち上げられるだろう。
ここで必要になるのは、両アプローチを併用し、基本的にはトップダウン的に業務量を見込みつつ、ボトムアップ的に追加コストとのバランスを取ることであろう。
現時点で重要なのは、速やかにCSIRTを立ち上げ、いつ起こるか分からないサイバー攻撃に早期に備えることだ。現実解としては、個々の企業を取り巻くサイバー脅威や対策レベル(緊急度)、既存リソースや調達コストなどを考慮し、実現可能なレベルで短期的/中長期での達成目標をロードマップに落とし込み、推進することが成功の鍵になる。
CSIRT要員の見積もり方
クライアントからよく聞かれる質問の中に、「CSIRTには何人必要か」、また「専任と兼務でも回るか」といったものがある。
ここでは、「決まった答えはありません。CSIRTには決まった形はなく、その形は各企業に応じて決めるべきものだからです」と回答している。
先に述べたように、CSIRT要員を何人そろえるかは、CSIRTにどこまでの業務を整備するかにかかってくる。そのためにも、まずは各企業が「必要とするCSIRT業務とは何か」を明確にすることをお勧めする。
CSIRT要員を見積もる上では、CSIRTの各業務に求められる業務量を見込む必要がある。そこでの主要な要素として、「業務時間」と「実施頻度」「難易度」などが挙げられる。これらの要素を勘案することで、企業に求められるCSIRT要員規模が見えてくるだろう。専任か兼務でよいかは、本来的にはその後に議論できるようになる。
ただし、これも先に述べたように、実際には決められた要員の中でCSIRTをやりくりしなければならない企業もあるだろう。その場合、割り切って考えることも必要となる。CSIRTは早く立ち上げるほど、そのリスク低減効果を早期に導出できる。簡単にいえば、何かあったら手遅れということである。
立ち上げないよりは、限定的でも早期に立ち上げた方がよい。但しそれは「なんちゃってCSIRT」にならないよう、本稿で述べてきた、しかるべきアプローチや方針を明確にすることが前提である点は認識して頂きたい。形式だけ整えても実際の対応には寄与しないからだ。
CSIRT要員見積もり