岩井氏:全部やろうとしたら回らないですよね。でも考えてみたら前職のときも、スタートは2~3人でした。でも、CSIRTの窓口としてメールアドレスを公開すると、海外から「お前のところ攻撃されてるよ」とメールが来るのです。結構連絡は来て、多分近くの日本企業さんがやられているから、「あなたから連絡してよ」という内容だと思うのですが。結構そういうものがくるだけでも、経営層は「ああ、こんなものがくるのだ」となりますよね。こうなるとある程度予算もつきやすくなるのではないでしょうか。
北村氏:たとえば情報企画部のミッションとして、ウイルスに感染したときや、システムが止まったときには、対応しているはずなのですよね。大成建設でも、2006~2007年に発生したインシデントに対してどういう対応しようということである程度作っていましたし、改めてCSIRTマテリアルとかハンドブックとか見ていくと、結局それを整理していって横の連携ができた。
デロイト トーマツ リスクサービス(DTRS) サイバーリスクサービス シニアマネージャー 岩井博樹氏
組織としては横連携の部分が非常に重要だということに気がついたのです。あとは社内できちんと明文化すること。小さなインシデントでも発生すれば、何をやらなければいけないか、どこが何をしなくてはいけないのか、それこそCROが判断するのか、広報が外に対して何をやるのかなどが、わかると思うのですね。それでシミュレーションしてみるという形だと思います。だからPCを紛失したとき、その中に個人情報が入っていたり、会社の情報が入っていたらどう動くかとか、そうやって考えていくしかないでしょうね。
村上氏:ひとつの例でいうと、「1人CSIRT」がなぜ可能かをかんがえてもいいかもしれません。窓口だけなら可能ですが、当然全部自分ではできませんよね。最近では情報システム部門がなく、すべて外のサービスを使っている場合も多い。そういうときにどこと連携をすべきかといったら、お金で解決できる場合もあります。情報システム部門がある意味CSIRTとして機能して欲しいわけですから、契約の中にうまく外部サービスを取り込んでもいいわけです。
必ずしも組織のインシデントをCSIRTの人がすべてコントロールしたりハンドリングする必要はないので、うまく外部のサービスを活用することも考えて欲しいですね。あと、絶対に外せないところ、その会社の事業リスクについてはその会社にしか判断できませんから、最終的にジャッジをするのはその組織の長、もしくはそこにエスカレーションをする人たちなので、そこのハンドリングさえ自分たちが握っていればいいのではないかなという気がします。
堤氏:手っ取り早く権限を握るのであれば、防災や危機管理などの権限を持っている部署や委員会組織に対応を任せることですね。危機発生時限定ですがその中で主体的に立ち回ることは出来る筈。あとは平時のときにすべき事を既存の組織に乗っかって実現することができれば、比較的早く対応できると思います。そもそもそういう組織があれば、ですが。
第6回に続く。