堤氏(バンダイナムコ):CSIRTの必要性について、大きく2つあると思います。まずはシステムには核になるものが必要ということ。さきほど「基となる組織はあった」というのは、委員会組織とその事務局のことなのですが、専任者がいないこともあり、この体系だと問題がありました。情報の集約面で言えば、大きな事案は通常のレポートラインで報告されますが、報告が不要と判断される小さな事案は個々の部署で対応して、個々の部署で収まってしまう傾向にあります。それを集めて適切に対応していく核として、CSIRTの役割は大きい。
もう一つは外部の情報を取ること。そう考えるきっかけは2013年のリスト型攻撃です。犯人をつかまえるつもりではないのですが、どういう規模で起きているのか、例えば当社だけが狙われたのか、広範囲に狙われた一社なのかなどを知りたいと思いました。とはいえ、それを他社に聞く手段がありません。
NCA(Nippon CSIRT Association、日本シーサート協議会)に入ることで、そういう話も内密に聞けるというメリットがありました。NCA加盟前はそこまで期待していませんでしたが、良い意味で裏切られます。当初は他社のCSIRTと外部連携ができそうだなぁという程度でしたから。
外部からの情報としてはJPCERTからの情報も当然役立ちますが、自分たちの立ち位置に合った、知りたい情報や目先で困っていることの解決の参考になるような情報を交換できる場は限られていると思います。内部情報と外部情報の集約が一番大きなところですね。
ディー・エヌ・エー(DeNA) システム本部 セキュリティ部 部長 DeNA CERT 茂岩祐樹氏
茂岩氏(DeNA) :CSIRTの必要性について2つ論点を挙げて話します。ひとつはそのセキュリティに責任を持つ人間を置くべきかどうかということ。それは先ほども出ましたが、経営にすごく大きなダメージを与える可能性が高いということ。実際に日本でも何百億円という損失、ダメージを実際に被った事件、事例が起こっていると考えると、何も対策せずにやり過ごすことはできないと思います。
ただ、それが専任組織である必要性があるかどうかというと、組織全体の規模が関係するのではないかと思っていまして、本当に小さいベンチャーや、ひとつの組織しかやっていなくて、メンバーも全員知り合いで眼の届く組織という、そういうところであればみんなでセキュリティを考えて、議論して考えてやっていくということは可能だと思います。
でも、組織がどんどん大きくなると、個人の考えることがバラバラになって、いろいろな事業部にそれぞれ任せてしまうようになります。本当に会社が求めているセキュリティのレベルというものにそもそも達していないということが大問題なのですが、逆にやり過ぎれば経営上の問題ということになります。過剰投資になってしまう可能性もあります。