村上氏:ある意味、日本CSIRT協議会ができてからの議論で、CSIRTというと皆新しい組織を作ろうとしますが、実は情報システム部門もCSIRTの機能であるということは、議論をしている日本CSIRT協議会も、CSIRTのメンバーも、情シスのメンバーもそういっています。
ですから、情報システム部門と連携しないCSIRTというのは多分ありえない。何をどう連携するかはそれぞれのシステム部門の所管によって変わるので、そこの権限をどのようにCSIRTが持つのか、もたないCSIRTなのかということで連携の仕方は変わってくるのだろうと思います。
理想的なCSIRTとしての情報連携のあり方、社内システム部門との連携のあり方というと、CSIRTがどこまで情報システムの面倒をみるのかという、その会社の権限などによって変わると思います。
JPCERTコーディネーションセンター(JPCERT/CC) 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長 村上晃氏
先ほどの茂岩さんのようにリソース管理しているところとセキュリティをやっているところでは(機能の)セパレーティングをきちんとしているので、いきなりCSIRTの人がいって端末を押さえるというようなことはあまりないと思います。
情報として提供して、通常の指揮系統で処理されているのだと思いますし、岩井さんのところのように厳しく、全部をわからないようにしているところもあるので、ここも情報システム部門の人が、自分たちのミッションはCSIRTのミッションの一部だときちんと理解してもらわないと連携できないと思います。
CSIRTをこれから作ろうという企業で、もしCSIRTを作るミッションを受けもたれた方は、出身が情報システム部門でなかったとしても情報システム部門の人と個人的にも仲良くしないと、多分連携できないですよね。
また、連携するのが情報システム部門だけでいいかというと、当然内部犯行や人事まで含めると、人事や総務とも話をしなくてはいけない。結構複数の部門をまたがって調整する機能として、CSIRTを構築しないといけないのであれば、その人の能力は技術的な能力というよりはコミュニケーション能力が高い人でないと、なかなか難しいのではないかという気がします。
岩井氏:)「FIRST(Forum of Incident Response and Security Teams)」カンファレンスのような、世界中のCSIRTが集まるところにいくと、以前のセッションでは、情報システム部門とITセキュリティ部門とは別にCSIRTを作った方が好ましい、というような発表がありました。基本的には外資系などは、職種に対して役割が決まっていますし、基本的には性善説ではなくて悪いことをするという前提で動いているので、そういう捉え方になるのだと思いますが、日本の場合ですと「いやいやうちの社員に限って」というようなかばい合いになるので、さっぱり解決に向かわないことが多いですね。
そういう強い権限を持ってしまうと、一般的な権限のみの部門の方々は、それをあまり良く思わないのではありませんか。日本では企業文化的に縦割りのケースが多いので、そことの調整をどうするのかというような、最初の建て付けで役割と権限、ミッションをきれいに整理する必要があるように思います。全く新しい会社にCSIRTを作るのはすごく楽だと思うのです。何もありませんから、そこに権限を与えるという方法が可能だと思います。
ただ、日本の場合はそうではないので、すでに存在しているラインや権限に対して、どう横串を刺していくのかという難しさはあるのかも知れません。だから、理想的CSIRTを絵に描いたとしても、日本企業では「それはうちではできない」とか「うちにはないよ」というようなケースも出てくる。
第5回に続く。
