最近、Butameronの脳内会議では、CSIRT(シーサート、Computer Security Incident Response Team)が話題です。これは、セキュリティ事故は必ず起きるものと考えて、情報収集や事故が起きたときの初動対応を一元的に担うチームです。

SWATと似たような格好いい響きがあります。

(組織内)CISRTは、専門部署という形態に限らず、既存の1部署内の数人で専門チームを構成したり、様々な部署を横断するように設置したりと、柔軟な組織形態を取ることが多いようです。

CSIRTを始めるにあたって、必ずしも特別な権限は必要ありません。
CSIRTの活動方針や形態は会社の文化によって変わってくるため、これといった正解もありません。しかし、最初の一歩は「社内外から寄せられるセキュリティ情報の窓口となる組織」として機能することです。


強いていえば、これまでも情シス部署がそれに該当するものでした。
しかし、情シス部署やセキュリティ担当部署に情報が届くまでに時間を要したり、その部署自体も知識不足でセキュリティに無頓着であったりと、問題が山積みでした。

例えば、せっかくお客様からセキュリティについての指摘を頂いたのに、サポート部署の判断で握り潰してしまったり、社内でたらい回しになってセキュリティ担当部署にまで情報が到達しないという事例が頻繁に起きていたとしても驚きに値しないのが現状です。

まあ、有名なセキュリティ専門家(こうしす!作中世界でいえば「よしみちゅ先生」クラスの人)が騒げば話も別になりますが、そういうことは通常考えられないことです。


そういう反省から注目されているのがCSIRTといえるでしょう。
  • CSIRTへの直通の連絡先を対外的に公開する
  • どんな些細なセキュリティ情報でも寄せる先として社内に周知する
  • 寄せられた情報をもとに必ず行動を起こす(例え誤報でも)
  • 社内外から「使えるチームだ」と信用される存在になる
  • 他社のCSIRTと積極的に情報交換する
という点がキモになってくるのではないでしょうか。
なかでも、身内から信用を勝ち取るというのが一番難しいと思うのですが、重要な点だと思います。


もし、既存のセキュリティ対応体制があるのであれば、それを小規模に改善しながらCSIRTに近づけていくというのが無理がなくて良いかもしれません。これから新たにセキュリティ対応体制を構築するのであれば、最初からCSIRTという形にするのも良いと思います。


アニメ版こうしす!や小説版こうしす!では、いつかCSIRTについても取り上げたいなと思っています。今執筆中の小説は、直接CSIRTには関係ありませんけどねw

それでは。