本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回の記事では、標的型攻撃と「サイバーセキュリティ経営ガイドライン」が日本のセキュリティ市場を大きく変革させる起爆剤となったことを述べた。今回は、後者のサイバーセキュリティ経営ガイドラインがもたらした、現在の日本企業における「CSIRTの設置」と「CISOの任命」の2つのブームについて述べたい。
サイバーセキュリティ経営ガイドラインが生んだCSIRTブーム
2015年12月に経済産業省が公開した「サイバーセキュリティ経営ガイドライン(ver1.0)」によって、大企業を中心にインシデント時の対応を実施する組織(チーム)であるCSIRT(Computer Security Incident Response Team)の設置が進んだ。このCSIRTの急激な拡大は、日本シーサート協議会(NCA)の会員数を見ると分かりやすい。
NCAの会員数の入会年の円グラフ、筆者作成
上のグラフを見ると、サイバーセキュリティ経営ガイドラインの公開以降で加盟会員の増加状況が一目瞭然だ。なんと、現在300を超える加盟企業・団体の60%以上が、2015年以降に入会した企業・団体である。さらに、ここ数年は加盟を準備している会員候補の企業が100社前後あるといい、この状況は今後も数年ほど続くと思われる。NCAに加盟しない形でCSIRTを設置している企業も相当数あると予想され、日本でもそれなりの規模の企業においては、既にCSIRTが一般化していると言ってよい状況であるようだ。
ただしCSIRTの設置は、本来実施しなければならないセキュリティ対策のゴールテープを切ったようなものではなく、単にスタートラインに立ったことに過ぎない。CSIRTが機能するためには、一定のセキュリティに関する知識と攻撃の手法やトレンドなどに関する情報を収集する仕組みの整備、そして、万一のインシデント発生時に頼れるベンダーとの密な連携など、やらなければならないことが山盛りであり、CSIRTをきちんと機能させる取り組みはこれからが本番と言ってよいだろう。