本来この事業ではこのくらいのレベルでいいのだが、銀行レベルの対策をしてしまったというような、そういうことになってしまうと経営としてもよくないので、セキュリティ対策を横串で通してみる人は組織がある一定のレベルの規模になったら必要なのかなと思っています。
もうひとつの観点は、ではCSIRTというフレームワークに従って運用していく必要があるのかということで、私は必ずしもそうではないと思っていますが、CSIRTというフレームワークを使った方が失敗は少ないのではないかと思います。
あとは、私たちも実際に海外の事業所があるのですが、海外の事業所に私たちのセキュリティの取り組みを強化したいといって巻き込むときに、CSIRTという海外にも流通しているフレームワークを使うということは非常に受け入れられやすい。ですからCSIRTに従うことは必須ではありませんが、使った方がいいということにはなります。
大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏
北村氏(大成建設):大成建設では、CSIRTを立ち上げるときに、役割とレポートラインを明確にして、会社として判断する人をCRO、社長というラインにしましょうという形で、社内規程を変えました。社内規程の改訂は取締役会付議事項なので、事前にCROに説明しにいった際に、CSIRTはインシデントレスポンスをするチームと説明したら、逆に「平時はどうする」と聞かれたのですね。
そこで「平時については業務分掌規程で、情報企画部が担当することになっている」という説明をしたのですが、それでは駄目となったのです。CSIRTがそういうインシデントレスポンスだけではなくて、平時からインシデントが起きないためにきちんと組織化して、機能するような形にしなさいと言われました。
最終的に、CSIRTの機能は平時も有事も対応する形に組み替えたのですが。たとえばJPCERTの「R」は、Response、インシデントレスポンスのRですから事後対応になります。一方で、US-CERTのアールはReadiness、準備しておくことなのです。確かにCSIRTハンドブックにも提供するサービスは3つあって、事後対応はそのうちのひとつでしかないということ。それ以外の品質管理、事前対応のサービスは普段の運用管理よりも高いレベルでやっていくことが必要だろうと感じています。
これは先ほどDeNAの茂岩さんがいわれたことと同じことですね。過剰投資、投資しすぎてはいけない、最低ラインはあるだろうということです。その最低ラインを探るためにCSIRT同士で横の連携ができたりお金をかけないでもできる訓練であるとか、レベルアップをするための策があるのではないかという、そういう情報共有のためには非常に有効ではないかと思っています。
