「ひとりCSIRT」へのエール、企業にはセキュリティの管理系人材が欠かせない（2/2 ページ）

[浅井英二，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　「技術面では、変化はあるものの、やるべきことはかなり明確になってきているが、組織面ではまだまだ暗中模索の企業が多い。予算がなく、人もいない、経営層の理解もない企業と、ロードマップを描いてサイバーセキュリティマネジメントを成熟させている企業のギャップが広がっている」と鎌田氏。

　実際のところ、NISTのサイバーセキュリティフレームワークが知られるようになるに伴い、侵入を前提とし、非常時の対応、復旧を司るCSIRTの構築を進める企業が増えてきているが、予算や人がいないため、情報システム部門の部課長クラスが兼務で任されることも多いと聞く。いわゆる「ひとりCSIRT」だ。

「ひとりCSIRT」も悲観しない

　サイバー攻撃によって顧客向けのサービスが停止してしまったり、顧客情報が漏えいしてしまったりするなど、深刻な事案が起きたときは、組織を横断したコミュニケーションを密にし、経営レベルの迅速な判断も求められる。技術的な対応以外にも、顧客をはじめとするステークホルダーや経営への説明、法的な対応、捜査機関への協力、マスコミ対応など、やるべきことは多岐にわたる。日常的に関係する各部門との関係を築いておき、事前に準備しておくことが重要になるが、とても一人で対応できるものではない。

　「まずは、このままでは組織がなぜ危ないのかを経営者に対して彼らの世界観で説明することから始めることが重要だ。彼らは攻撃の手口や守る方法に興味はない。経営へのインパクトという、彼らの目線で話をすべきだ」と鎌田氏。

　経営層が必要としているインテリジェンスは、リスクを把握し、優先順位を付けるための情報であり、例えば、「営業秘密に関する情報取得を目的としたサイバー攻撃が報告されている」といったものだ。サイバーセキュリティ対策の企画立案を担う管理層や日々のセキュリティ運用を担う現場の技術者とは必要とするインテリジェンスが異なる。

　ちまたではセキュリティ技術者の人材不足がしばしば話題となるが、経営と現場をつなぎ、サイバーセキュリティ対策を推進、非常時には対応・復旧の司令塔となる管理系人材こそ企業にとっては不可欠となる。技術的な調査や対応は、ある程度アウトソースできるが、管理系人材が担うべき仕事はその企業やビジネスのことを理解している必要があるし、何よりも経営層とのコミュニケーション能力が求められるからだ。

　「ひとりCSIRTでも悲観すべきではない。業界ごとのISACや日本シーサート協議会などに参加し、成功事例を参考にすることもできる。場当たり的ではない、体系的・網羅的な視野でロードマップを描くことが重要だ」と鎌田氏は話す。