有事の専門家派遣サービス活用のポイント
CSIRT要員の見積もり方について述べてきたが、実際には難しい点が残る。それは、有事対応の業務量をどう見積もるかである。定常業務と比べ、有事対応業務では、攻撃の高度性(難易度)によっても対応時間は変わってくる。
また、インシデント自体の発生頻度を見込むことは難しい。過去の実績から推定するやり方もあるが、正確に予測できたら苦労はないわけで、有事対応は「起きる時は起こる」し、「起きない時は起きない」と割り切って考るのが現実的だろう。
1つの解となるのは、CSIRT要員の外部調達である。有事対応の期間、事前の契約に基づき外部専門家の派遣を受けることで、常設のCSIRT要員を削減することができる。また高度な攻撃に対する対応要員の能力確保の問題も一定程度カバーされる。
実際に、各セキュリティ関連会社から、さまざまなインシデント時の駆け付けサービスが展開されている。
ただし、ここでも重要なのは、「実効性」をいかに確保するかにある。そのためのポイントは、自社環境に対する「習熟度」と「即時性」がある。
「習熟度」は、CSIRTの3つのリソース「プロセス(対応業務の流れ)」「人(関連する組織、登場人物)」、「IT(活用すべきITインフラ)」について、どれだけ理解しているかにある。いかに専門家とはいえ、自社環境に習熟していない中で、有事対応全体をサポートするには限界がある。もちろん、スポット的な技術対応(例:PC端末のフォレンジック)などはその限りではないため分けて考える必要がある。
「即時性」は、いかに早期に外部専門家を受け入れられるかにある。インシデント発生直後の即時対応が非常に重要であることは前稿で述べたが、外部委託先からの派遣が、発生から1日後、もしくは2~3日後になるようであれば、後の祭りである。
外部要員の活用は有効な手段であるが、「自社環境に習熟した」「早期派遣可能」な要員が確保されることを事前に確認しておくことが前提と考える。
CSIRTの対象組織--初期時と展開時
CSIRTを立ち上げる際には、CSIRTの枠組みをどこまで適用するかを考えることになる。ここでの推奨は、立上げ時の初期フェーズと、拡大時の展開フェーズとを分けて考えることである。まずは、本丸となる組織単位に対して、早期に有事の対応体制を整備することが重要である。
展開フェーズはそのプロトタイプを活用することで、効果的に推進が可能である。立ち上げ時の本丸としてどこまでの組織を含むべきかについては、当該組織を取り巻く脅威や保有する情報資産など多角的に検討することになる。