なぜ中小企業にもCSIRTが必要なのか
ZDNet:大企業だけでなく、中小企業にも必要な理由はどのようなものでしょう。
JPCERTコーディネーションセンター(JPCERT/CC) 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長 村上晃氏
村上氏(JPCERT):先ほど北村さんがおっしゃったように、RのResponseとReadinessの話はまさに事前の準備までも含めてというのは大きい意味での重要性がありますね。CSIRTの必要性が認識されている企業のタイプは、2つあると思います。
前提となる脅威、リスクというものをきちんと把握している経営者がある程度レスポンスビリティの高い企業を求める。そのときにCSIRTという枠組みで作ったものもあれば、情報セキュリティ委員会的なものであるケースも当然ありますよね。
もうひとつあるのは、先ほど岩井さんがおっしゃった、コミュニティの中でCSIRTという組織がひとつ自社の中にあることで、それ以外のCSIRTの人たちとの連携がとりやすくなる。
つまり、CSIRTという仕事を作業者が認識したときに、その情報だけでなにかできるわけでもない。そうすると社の組織はどうしているか、これは自分たちだけが受けている攻撃なのか、誰と相談したらいいのか、どういう風にそれを誰に聞けばいいのか、そういうときにCSIRTという対外的な窓口を開いている組織に対して、コミュニティの中での情報連携がしやすくなります。
逆にJPCERT/CC側からすると大企業、中小企業も含めてですが、ご報告いただくインシデント情報や、私たちが独自に収集した情報でインシデントをお伝えしなければいけない事情が出てくるわけです。CSIRTのある企業は私たちも把握できているので、メール一本、電話一本で済みます。しかし、CSIRTがない場合は、どこに連絡したらいいのかわかりません。
つまり、中小企業さまになぜCSIRTが必要かといいますと、企業規模や事業内容にもよるとは思いますが、少なくとも対外的に開いているセキュリティの窓口を持っていていただけば私たちも連絡しやすいですし、他社のCSIRTさんも協力しやすいという、そういう横連携の相乗効果があると思います。
そういう意味で、コミュニティと連携の問題について、事前に準備をして想定しておくことで、いざというときに慌てて対応する必要がなくなりますし、対処も速くなります。経営者に対するエスカレーションも速くなりますし、起こったインシデントに対してのリスクや事業継続上の問題も早いアドバイスが可能になります。