"自分事"がセキュリティを強くする――経営・現場・CSIRTの認識をそろえ、カイゼンし続ける組織へ：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[周藤瞳美，ITmedia]

CSIRTへの誤解を解き、全社横断する"宇宙船"を作る

　経営、現場、IT部門が見方の違いを埋め、連携していくためには「方向性」「動き」「人」の3軸で考える必要があるという。経営層が自社の方向性を定め、CSIRTが連携の動きを作り、最善を考える人を育てる。

　この連携のキーマンとなるCSIRTだが、福田氏によれば、社内での役割について多くの誤解があるという。実効性のある体制を構築するためには、まず以下の5つの誤解を解く必要があると福田氏は語る。

　1つ目の誤解は「CSIRTとは専門部署である」というものだ。CSIRTは決まった実装形態のない組織の総称であり、「機能」であり「活動」でもある。IT部門が単独で担うものではない。

　「すでに社内にある品質保証や生産管理といった既存組織のインシデント対応機能を主役に据え、そこでカバーしきれない隙間を埋めるのがCSIRTの役割です。例えるなら、社内を横断する"宇宙船"のような新チームです。そのため、必ず自社の業務を深く理解している人間をチームに入れなければ機能しません。また、新しいセキュリティ用語ばかり使って社内で"宇宙人"扱いされないよう、自社の文化に合った言葉、例えば『品質向上活動』などに変換して伝えることも大切です」（福田氏）

　2つ目は「CSIRTは事後対応のみを行う」という誤解だ。グローバルなセキュリティフォーラムであるFIRSTのフレームワークが示すとおり、CSIRTは事後対応だけでなく、平時から脆弱性管理や教育など多様な活動を行っていく。

　3つ目、4つ目の誤解は「同業他社をまねすればよい」「セキュリティベンダーに任せればよい」というもの。自社で何を守るべきか、どう対応すべきかという共通認識を作れるのは社内の人間にしかできない。外部に丸投げするのではなく、自ら自分事として捉えることが大前提となる。

　そして5つ目の誤解は「最初から完璧なものでなければならない」という思い込みだ。

「完璧な企業など存在しません。日々改善を続けること自体がCSIRTの業務と言っても間違いではありません」（福田氏）

カイゼンを続ける「場」が、組織と人を育てる

　自律的に動ける組織を作るための最大の鍵は、「人」を育てることにある。福田氏は、経営層の評価のあり方について問題提起する。

　「サイバー攻撃を受けたという『事象』そのものをマイナス評価の対象にしないでください。いつ被害に遭うかわからないのが現代のサイバー攻撃です。攻撃を受けたことではなく、日々の『カイゼン（改善）』を続ける行動そのものを、業務として正当に評価してほしいのです」（福田氏）

　教育、ルール作成、机上訓練、総合演習といったステップは、一度やったら終わりではない。階段を上って完了ではなく、ぐるぐるとサイクルを回し続けることが重要だという。

　「前のステップに戻るような気がしても、それは後戻りではなく進化の過程です。回しながら整え、回しながら組織を育てていくのです」（福田氏）

　実践的なスキルを磨く場として、日本シーサート協議会（NCA）の『サイバー攻撃演習・訓練実施マニュアル Ver.1.3』をベースに、インシデント対応演習訓練ワーキンググループの石塚氏・井出氏・伊藤氏が発行した『サイバー攻撃対応演習・訓練ガイド』や、NCAが主催する「TRANSITS Workshop」、チームトレーニングなどを活用することも有効だ。特に、同業他社のまねではなく、自社専用の演習シナリオを自ら考えるプロセス自体が、関係者の深い理解と気づきにつながるという。

　最後に福田氏は、セキュリティ対策における「カイゼン」の真髄について次のように語った。

　「サイバーセキュリティに絶対的な正解はありません。カイゼンとは、表面的なその場しのぎの対応ではなく、真因まで突き止め、考え方ややり方そのものを変えていくことです。そして、カイゼンをするための場、失敗を責められない心理的に安全な場を作ることが、折れない組織を作り、最善を尽くす人を育てます。人を育てる組織づくりを、決して忘れないでください」（福田氏）