CSIRTをめぐる5つの誤解：うまく運用できないCSIRTを作らないために（5/6 ページ）

サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT（Computer Security Incident Response Team）への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。

[山賀正人，＠IT]

誤解4：セキュリティベンダーに任せればよい

　「誤解2」でも述べたように、CSIRTのサービス（機能）の一部を外部の専門業者、いわゆる「セキュリティベンダー」にアウトソーシングするのは一般的ですし、むしろ「適切」です。

　例えば、24時間の監視や事後対応における詳細分析など、技術的に高度で専門的なことは自社でやり切るのはそもそも無理な話です。そうした分野については専門業者に任せる方が、現実的に考えて効率がよいのは明らかです。

　しかし、ここでありがちな「間違い」は、意思決定を含めた全てを「丸投げ」してしまうことです。

　セキュリティベンダーは技術的に正しいことはいえます。しかし、技術的に正しいことがその会社全体にとって、例えば経営的な視点から見ても正しいとは限りません。具体的には、時間をかけてじっくりと原因の解明や影響範囲の特定を行うのは技術的に正しいことですが、時間をかけるということはコストがかかることでもあります。状況によっては、調査分析よりも復旧を優先するという判断は決して「間違っている」とはいえないのです。

　このように全体を見て「正しい≒最適」な対応をとるための判断は、セキュリティベンダーにはできません。そのような意思決定は会社内の人間でなければ、そもそもできるわけがないのです。当たり前のことですが、その「当たり前」ができておらず、重要な判断までセキュリティベンダーに任せようとしてしまうケースが実際にあるのです。

　このような意思決定の権限（の一部）をCSIRTに持たせるケースもありますが、多くの場合、CSIRTは意思決定をする権限を持つ人や部署に対して必要な情報を提供し、意思決定を促す役目を担います。いい換えれば、現場（アウトソーシング先を含む、主に技術系）と意思決定をする者（主に非技術系）との間の「言語の違いを通訳する」のがCSIRTなのです。