CSIRTの継続的な活動に向けて
「目指せ! CSOへの道」(6)最終回

タイトルイメージ第六回

本稿では、コラムとして毎月、次世代の「CSO」(Chief Security Officer:セキュリティ最高責任者)を目指す方を対象に、これまで五回にわたってCSIRTを中心としたセキュリティ対策のあり方について述べてきましたが、最終回となる今回は、取り組みの継続性や実効性をより高めるためのポイントについて押さえていきたいと思います。

自社CSIRTの活動は間違っていないだろうか…

CSIRTの運用を日々進めていく中で、次第に気になってくるのが自分たちの活動の妥当性ではないでしょうか。過去の記事でも触れてきたように、セキュリティ面での配慮が求められる分野は年々広がっています。いろいろな対策に取り組む内に、「果たして我々の行動は、全体としてこれで正しいのだろうか?」という迷いが生じるケースもあるかも知れません。情報セキュリティの司令塔たるべきCSIRTが、自らの活動に確信を持てないのではちょっと困ってしまいますね。

客観的な観点から現在の活動を見つめ直す

こうした際には、やはり第三者的な視点で、現在の取り組み内容を見つめ直すことが肝心です。セキュリティベンダーやITベンダーなどの専門家に依頼してアセスメントを行ってもらうのが一番ですが、費用や時間に余裕がない場合は簡単な検証作業を自分で行うこともできます。

たとえば、日本セキュリティネットワーク協会(JNSA)の「情報セキュリティ対策セルフチェックリスト」や、情報処理推進機構(IPA)の「中小企業における組織的な情報セキュリティ対策ガイドライン付録 情報セキュリティ対策チェックリスト」などの公開資料を利用すれば、アンケート形式の質問に答えていくだけで、自社の取り組み状況を評価することが可能。できている部分/できていない部分を客観的に把握できるだけでなく、セキュリティ強化やソリューション導入を図る際の材料としても役立ちます。

このように自らの取り組みを振り返ることは、活動のPDCAを廻していく上でも非常に重要なポイントです。たとえCSIRTの運営がうまく進んでいる場合でも、初心に返る意味も込めて定期的なチェックを行うようにしたいところです。

具体的なデータに基づいてCSIRTの活動成果をアピール

また、これと並行して実施したいのが、社内の経営層に向けた定期的な活動報告です。セキュリティ分野における長年の課題として、積極的な投資意欲が沸きにくいという問題があります。会社の売上や利益、生産性向上などに直結する業務システムと違って、投下した費用に対するメリットがイマイチ見えにくいというのがその理由ですが、CSIRTの活動もこれと共通する面があります。取り組みがうまくいっている=何も問題が起きないということですから、傍目には「何をやっているのかよく分からない組織」と見なされてしまうおそれもあります。

継続的な活動の為に

もちろん、この記事を読んでおられる方々は、そうでないことを十分に理解しておられることでしょう。しかし、経営層の理解が不足していたのでは、後々の活動に支障が生じたりするようなことも考えられます。こうした事態を避けるためには、CSIRTが設置されていることの意義をしっかりと認識してもらわなくてはなりません。

特にここで注意したいのが、システムのログなどを活用して定量的なデータに基づいた具体的な報告を行うということです。ただ単純に「脅威を防ぎました」と報告するのと、「××件の不正アクセスを検知・遮断し、×××というマルウェアを××件防御しました」と報告するのでは、情報を受け取る側の認識や危機意識も全く変わってきます。もし可能であれば、万一被害が生じた場合の費用を試算し、コスト削減効果としてアピールするのも良いでしょう。このようにしてCSIRTの活動が正しく評価されるようになれば、後々の取り組みも進めやすくなりますし、全社の安全を守ることにもつながります。

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン