ブームに踊らない、もう1つの方法
山賀氏はもう一つ、「セキュリティ専門家の言うことを、あまりうのみにし過ぎないでほしい」とも呼び掛けた。
昨今のCSIRTブームに伴って、総務や人事など、情報システムやセキュリティ以外の分野からCSIRT担当者に任命される人も少なくない。本人は、専門外なのだからセキュリティについて学ばねばと一生懸命になるあまり、「専門家の言葉をうのみにし過ぎ、『この通りにやらなければいけない』と踊らされることになりかねない」という。
「専門家の言うことは間違いではないが、あくまで一般的な話であって、それが皆さんの組織に当てはまるかどうかは別の話。そもそも、100%正しいセキュリティなんて存在せず、組織によって違うのが当たり前。法律やガイドラインといったミニマムラインはあるが、そこから先、どこまでやるか、何を優先するかは組織によって異なる」(山賀氏)
さらに、「CSIRTを作るのにコンサルティングはいらない。そのお金があるなら、NCAに来てワーキンググループに参加し、いろいろなCSIRTにインタビューし、自分たちはどうしたいかを学んでいく方がいい」と述べた。一部の事業者の怪しい言葉にだまされないよう、実際にインシデントレスポンスに携わる現場の声を参考にしながら、自社につながる情報やノウハウを身に付け、賢いユーザー企業になってほしいとした。
山賀氏は参考例として、ある地方企業のCSIRTの「成功事例」も紹介した。
「この企業は社長の理解もあり、コミュニティーへの参加を積極的に認めている。コミュニティーに行けば、さまざまな企業、時にはベンダーの技術者とも仲良くなり、いろいろな相談ができる。例えば、『今度、こんな製品を入れたいんだけれど、どうですかね』といったざっくばらんな相談を、営業トークではなく、技術者と本音で話すことができ、本当に自社に必要なものは何で、そのための製品はどれかが分かる」(山賀氏)
そうすれば、「簡単には、営業にだまされないし、踏み込んだ話もできる。だから、限られた予算もうまく使うことができる。セキュリティカンファレンスや全国のさまざまな場で活動しているコミュニティー、NCAのワーキンググループに参加し、いろいろな人と仲良くなり、知識を得て、賢くなってほしい」と呼び掛けた。
また、積極的に情報を発信しているセキュリティ専門家のTwitterやFacebookのアカウントをフォローすることもお勧めだという。
山賀氏は、当初かなり深刻だと報じられたglibcの脆弱性「Ghost」が、実際に専門家らが検証し、確認した結果、それほど危険性は高くないと判断されたにもかかわらず、続報がほとんどなかったケースを紹介。情報に振り回されないためにも、こうしたセキュリティ専門家のアカウントはぜひチェックすべきという。(後編に続く)