CSIRTをめぐる5つの誤解：うまく運用できないCSIRTを作らないために（4/6 ページ）

サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT（Computer Security Incident Response Team）への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。

[山賀正人，＠IT]

誤解3：同業他社を真似すればいい

　CSIRTにはISOやJISといった一般的な「規格」はありません。そのため、CSIRTを構築するに当たって同業他社を参考にしたいと考える人がいるのも当然でしょう。

　しかし現実には、同業であっても、CSIRTの形態は大きく異なっており、必ずしも参考になるとは限りません。それは、CSIRTの形態が、その企業内の事業部間や部署間のパワーバランスなど、これまでたどってきた歴史的な背景に強く依存しているからです。いい換えれば、その企業の「文化」によって実装および運用形態は違ってくるため、1つとして「同じCSIRT」は存在しないのです。

　このように、完全に同じCSIRTは存在しないのですが、それでも他社のCSIRTを部分的に参考にすることはできます。その場合、同業他社よりもむしろ異業種の方が参考になることもあります。同業他社にこだわらずに、幅広くさまざまなCSIRTを参考にすることをお勧めします。