座談会@ZDNet

情報セキュリティは他社との連携が前提の時代に--CSIRT座談会(2) - (page 3)

山田竜司 (編集部) 吉澤亨史

2017-02-07 07:00

 本来この事業ではこのくらいのレベルでいいのだが、銀行レベルの対策をしてしまったというような、そういうことになってしまうと経営としてもよくないので、セキュリティ対策を横串で通してみる人は組織がある一定のレベルの規模になったら必要なのかなと思っています。

 もうひとつの観点は、ではCSIRTというフレームワークに従って運用していく必要があるのかということで、私は必ずしもそうではないと思っていますが、CSIRTというフレームワークを使った方が失敗は少ないのではないかと思います。

 あとは、私たちも実際に海外の事業所があるのですが、海外の事業所に私たちのセキュリティの取り組みを強化したいといって巻き込むときに、CSIRTという海外にも流通しているフレームワークを使うということは非常に受け入れられやすい。ですからCSIRTに従うことは必須ではありませんが、使った方がいいということにはなります。


大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏

 北村氏(大成建設):大成建設では、CSIRTを立ち上げるときに、役割とレポートラインを明確にして、会社として判断する人をCRO、社長というラインにしましょうという形で、社内規程を変えました。社内規程の改訂は取締役会付議事項なので、事前にCROに説明しにいった際に、CSIRTはインシデントレスポンスをするチームと説明したら、逆に「平時はどうする」と聞かれたのですね。

 そこで「平時については業務分掌規程で、情報企画部が担当することになっている」という説明をしたのですが、それでは駄目となったのです。CSIRTがそういうインシデントレスポンスだけではなくて、平時からインシデントが起きないためにきちんと組織化して、機能するような形にしなさいと言われました。

 最終的に、CSIRTの機能は平時も有事も対応する形に組み替えたのですが。たとえばJPCERTの「R」は、Response、インシデントレスポンスのRですから事後対応になります。一方で、US-CERTのアールはReadiness、準備しておくことなのです。確かにCSIRTハンドブックにも提供するサービスは3つあって、事後対応はそのうちのひとつでしかないということ。それ以外の品質管理、事前対応のサービスは普段の運用管理よりも高いレベルでやっていくことが必要だろうと感じています。

 これは先ほどDeNAの茂岩さんがいわれたことと同じことですね。過剰投資、投資しすぎてはいけない、最低ラインはあるだろうということです。その最低ラインを探るためにCSIRT同士で横の連携ができたりお金をかけないでもできる訓練であるとか、レベルアップをするための策があるのではないかという、そういう情報共有のためには非常に有効ではないかと思っています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]