茂岩氏:議論の中で何度も出てきていますが、窓口という機能は必要なものの、CSIRT自体はなくなればいいなと思っているところがあります。CSIRTでやることがどんどん増えるということは、一見セキュリティのレベルが上がり、セキュリティの均一なサービスが提供できるのですが、機能をどんどん大きくすることはしたくないと思っています。
ディー・エヌ・エー(DeNA) システム本部 セキュリティ部 部長 DeNA CERT 茂岩祐樹氏
それぞれの現場が自律的に状況を判断できる、その範囲を増やしていきたいと思っています。それを推進することで、CSIRT自体は窓口、あるいは最新の情報を得たり交換したりという役割に集中して、筋肉質な組織を作れると。現場はいちいち私たちに聞かなくても自分たちでいろいろな判断をして、ビジネスを早く回せると思うのです。そういう組織を作りたいと思っています。
堤氏:われわれのチームは自己紹介のときに申しあげた通り高齢といいますか、コアメンバーの平均年齢が50歳近いです。その分、コミュニケーション能力や人脈、インシデントに動じない胆力があるので、うまく回っている部分があります。今はいいのですが、CSIRTの継続性を考えると、リミットが10年というところがある。若手や中堅の育成を進めたいです。
バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課 アシスタントマネージャー 堤光伸氏
ドキュメント化し難い知見などは、一緒に業務を推進しながら共有していきたいなと。10年という時間はありますが、人を育てるには長すぎることはないので、すぐにでも若手が欲しいところです。皆ゲームを作りたくて入社しているので、CSIRTのような下支え部署にはまず手を挙げません。
そのため理想としては、若手の育成よりもCSIRT専門要員としてやる気のある人を採用して、手厚く育てていくことです。DeNAさんはセキュリティに関する教育がかなり充実しているので、若手を弟子入りさせてもらえないかなとか(笑)。開発情報は超秘密情報ですので、難しいところはあるのですが、他所で武者修行のようなことができるといいなと思っています。
人を集めるためにも「私はBNESIRT(Bandai Namco Entertainment Security Incident Response Team)にいきたい」と言わせる魅力が必要だと思います。CISOになる道を拓くのも一つですが、それが魅力にならない人もいるので、キャリアパスとキャリアプランは柔軟に考えたいです。なかなか褒められない部署でつらいので、「これだけやった」「これだけ頑張った」と成果を可視化してやる気を引き出してあげたい。CSIRTメンバーの強化が「セキュリティに強い組織」に近づきます。