結果的に被害やインシデントが起こっても、対処時間が短くなるということはある意味では事業継続上のリスクを低減していることになります。その観点でいえば、大企業も中小企業も同じであるといえると思います。
経済産業省の定義する中小企業とは資本金1億円以下で、100人程度の規模となっていますが、そういった規模でも、1人で窓口業務をすることが可能であれば、全体として情報連携も含めて経営リスクがお互いに低減できる形の仕組みができるでしょう。そういったメッセージも含めて、CSIRTを作っていただきたいという気持ちがあります。
ZDNet:窓口がひとつあると、お互いの連絡が取りやすいというところと、CSIRTを作って協議会の会員になることで、他社との情報の連携ができる、あとは社内の取りまとめのところで、およそ2~3の機能があるということですね。他にもありますか。
堤氏(バンダイナムコ):ゲーム業界は大きい会社ばかりではないこともあり、担当者が兼任で1人という会社も多いようです。この場合「心細い」「寂しい」。でもCSIRTと名乗ることによって、同じような境遇の人と知り合い、苦労を共有できると気持ちが軽くなりやる気も出ます。業界でメンバーが増えるのは私も心強いですし、孤独だった方はもっと心強いのではないかと思います。
村上氏(JPCERT):なぜそれが重要かというのは、最近の攻撃は特定の組織をいきなり狙うということは多くないですね。まずはその周辺から狙う。小さいところが狙われるリスクが多いのですが、そういう状況の情報をいただければ「これはもしかするとうちに関係があるのかも知れない」、あるいは「どこか特定の組織を狙った攻撃なのではないか」とか、「たまたま被害にあってしまったようだ」とか、判断できるだけでも準備段階として、有効に活用できます。
そういった情報の連携なりをうまく作るためには、それぞれが共通の言葉や認識で会話ができる必要があります。たとえば総務部の人から連絡があったときと、私たちが総務部に連絡するときでは最初からコミュニケーションギャップがあるわけです。お互いにCSIRTの人間であれば、共通の認識や脅威に対して同じような理解があるので、一瞬で共通の認識ができるというメリットがあります。
そういう「正しく情報を伝える」「正しく情報を集める」という意味でも、CSIRTを社内に作って活動するだけで、その組織の人のセキュリティに関する知識・レベルも上がるし、1人で悩んでいないで誰かに相談するときも適切なアドバイスが可能なコミュニティがありますから、自社のセキュリティを向上させることも可能になります。そこでCSIRT協議会のようなものを活用していただければ、ご支援させていただけると思います。
デロイト トーマツ リスクサービス(DTRS) サイバーリスクサービス シニアマネージャー 岩井博樹氏
岩井氏(デロイト):言葉の共通化は、非常に大事なことです。役員の方、CROやCIOの方が出てこられると、「リスク」としてとらえる範囲がすごく広いですよね。最近はCSIRTのCを「サイバー」と訳しているところもあるくらい電子特化なのですが、そういうCRO/CIOは「ITリスク」ひとつとってもすごく範囲が広く、「インフォメーション」領域ということで紙もリスク対象に含めてしまいます。
そうなると、サイバー空間の話であるとか、不正プログラムの話になると、もう完全について来れません。そのときにCSIRTの担当の方が間に入ってくれると、私たちのような第三者と経営者層との橋渡しをしてくれて、自社の企業文化などに通じる言葉に落とし込んでくれます。そういう効果もあるかも知れませんね。
<第3回に続く>
