CSIRTをめぐる5つの誤解：うまく運用できないCSIRTを作らないために（2/6 ページ）

サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT（Computer Security Incident Response Team）への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。

[山賀正人，＠IT]

誤解1：CSIRTとは部署である

　CSIRTの最後のTは「Team」の略であることから、CSIRTを部署（のようなもの）だと考えてしまうのは仕方ありませんが、実際には部署である必要は全くありません。

　実は十数年前まではCSIRTとは別に「CSIRC」（Computer Security Incident Response Capability）という言葉も使われていたのですが、現在ではCSIRCの意味も含めてCSIRTという言葉が使われています。つまり、CSIRTは部署である必要はなく、「機能」として存在していればよいのです。

　ではなぜ、CSIRCという言葉が使われなくなり、CSIRTという言葉のみが使われるようになったのでしょうか？

　この問いに対する明確な答えはないのですが、Teamという言葉を用いることによるメンバー同士の一体感を示す意味があるのではないかと筆者は考えています。

　実際にインシデントに対応した経験のある方ならば分かると思いますが、企業や組織内で発生したインシデントに対応するには、誰か1人のスーパーマンがいれば万事解決するというものではありません。インシデント発生の現場では関係者による連携、すなわち「チームワーク」が必須であることは明らかです。このような「チームワーク」の必要性をメンバー間でごく自然な形で共有するためにも、Teamを名乗ることに意味があるのです。

　では実際にCSIRTはどのような形態で実装・運用されているものなのでしょうか？

　日本において主に海外との連携窓口を務めている日本最初のCSIRT、JPCERT/CCが公開している「CSIRTガイド」によれば、CSIRTには大きく分けて3つの形態があります（図1）。

　この中で、CSIRTとして完全に独立した部署として運用されているケースは実はさほど多くなく、関連する部署にまたがった兼務のメンバーによって構成される「仮想チーム」の形態をとるケースが多く見られます。独立部署が「消防署」だとすると、「仮想チーム」は「消防団」のイメージに近いといえるかもしれません。また他にも、特定の部署内の一部メンバーによる「グループ」の形態をとるケースもあります。

図1　CSIRTの主な形態（出典：JPCERT/CC「CSIRTガイド」）

　ところで「仮想チーム」の場合、CSIRTの活動予算はどのように工面するのか？ という疑問もあるかと思います。

　予算の工面は多くのCSIRTにとって（未解決の）深刻な課題であり、一概に「こうするのがよい」といえるようなベストな解はないのですが、仮想チームの場合はメンバーが本来所属している部署からの持ち出しであるケースが多いようです。他にも、「品質保証」の予算から工面しているケースやインシデントが発生した部署との間での社内取引で対応しているケースもあります。