堤氏:今まで出てきたとおり、本当に「(CSIRTの)マテリアルを読んでください」ということですかね。自分の組織で一番守らなければいけないのはなんだろう、そこを守るためにはどうするのか。あとは、どのくらいのレベル感の人に言われたかにもよります。セキュリティにあまり詳しくない人から言われたら、お金と権限があってもCSIRTをどう作ったらいいか分からないということはあると思いますので。
バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課 アシスタントマネージャー 堤光伸氏
岩井氏:私は前職と現職で2つCSIRTを立ち上げているのですが、思い起こすときちんとした建て付けからは考えていないですね。前職のときも、窓口がないことにはどうにもならないので、とりあえずCSIRTの国際機関である「FIRST」に行ってみたり、海外のコミュニティに参加したりしました。デロイト トーマツに移ってきて、CSIRTがないということでしたので、まずは立ち上げようということになりました。
すると、当時デロイト全体にCSIRTがなかったのですね。CIRTを使ったアカウントは海外のメンバーも取っていなかったので、まずは日本でアカウントを取得して、デロイトと世界の窓口を作ってしまおうということで構築をはじめました。前職と同じステップで、まず外のつながりを作っていって、そのあとに組織を作っていったという形ですね。そのときに権限とやる内容、組織全体のものを作って、予算は考えなかったですね。それでデロイト トーマツ全体をカバーするようなイメージで作らせてもらいました。ですから、何からやったかといわれると組織のデザインからですね。
JPCERTコーディネーションセンター(JPCERT/CC) 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長 村上晃氏
村上氏:できるところからやっていただければいいのではないかと思います。スモールスタートでもいいと思いますし。
岩井氏:私は組織間の横連携がCSIRTの肝だと思っているので、そこの窓口を先に作ってやっていくという考えでした。
村上氏:大上段に構えて、すごい予算計画を立てて作るやり方も、アプローチとしては当然あるのですが、経営者に対して予算化をする前に、まずできる範囲のことをきちっとやってみる。それはコミュニティでの活動も含めて、窓口をきちんと作るとか、そのくらいはお金をかけなくてもできますよね。そういう意識をまず全社的に浸透させながら展開していく。
経営者が「やれ」と言ったのならば、これはとりあえず枠と、できるところから作ります。あと、うちに足りないのはこれとこれというのはきちんと整理して、きちんと合意をとってもらうというやり方でいいと思います。そうでないと、中小企業は多分無理ですね。いきなり高い製品を入れないとCSIRTじゃないという売り込みをするベンダーがいるかも知れませんから。