プラクティス7-4 CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積
従業員数1,200名規模でインテリア雑貨の小売を行うR社は、8年前から実店舗とは別にオンライン販売を開始し、現在では売上の半分がオンライン経由となっている。オンライン販売の規模拡大とともにサイバー攻撃への対処の必要に迫られ、5年前に情報システム部門のメンバー3名を中心としてCSIRTを設置した。現在ではR社の法務部門や広報部門と連携するなど体制も強化され、卸等の取引先のからも評価される存在となっている。一方で、CSIRT設立の中核だった従業員1名が3年前に退職した際、一時的にCSIRTの対応能力が大幅に低下し、回復まで時間を要することがあった。R社のCISOは、CSIRTの機能を持続的に維持させていくためには、業務を属人化させない仕組を整備することが自社の社会的責任を果たす上で必要なことを経営層に訴えかけ、その理解を得た上で対策案を推進していくこととなった。
R社の実践のステップ
R社のCISOが実践したステップは下記4点である。
①CSIRT要員の作業を可視化するためのタスク管理ツールを導入
②自社で検知・対応したインシデント(予兆を含む)や社外から収集したインシデント、脅威、対策ソリューション等の情報をCSIRT内で記録・共有するデータベースを構築
③CSIRT要員であれば誰が対応しても同じ結果となるようにするためのマニュアルを整備
④①~③を用いた机上演習の定期実施を通じて、要員間での経験差をできるだけ縮小
R社の実践内容
R社のCISOはかつて社内の基幹情報システムの運用チームを担当していたことがあり、類似の状況で業務が属人化するプロセスを自ら体験していた。多忙の中では各要員が案件を抱え込みがちになり、結果として「●●のことはAさんしかわからない」という状況が生じてしまう。それは短期的には効率的でも、長期で見ると組織として望ましい状態とは言えない。そこでCISOは改善のための対策実施を通じて実現すべき目標として、次の各点を掲げることとした。
- CSIRT内で誰が何をやっているかの可視化(特定の仕事が特定の要員に偏っていないかを把握)
- CSIRT内での情報共有(経験知以外を偏りなく共有する)
- 誰がやっても同じ結果となるような仕組みづくり
- 経験知の限られた要員に経験を積んでもらう機会の提供
これらの達成のため、CISOが実施した具体的な取組とその結果等を次表に示す。
表1 R社のCISOが実施した取組
取組 | 具体的な実施内容 | 実施結果・観察事項等 |
---|---|---|
タスク管理ツールの導入 |
|
|
CSIRT内情報共有環境の構築 |
|
|
CSIRTマニュアルの整備 |
|
|
机上演習の定期実施 |
|
|
R社のCISOはこの結果をもとに、CSIRTの運用について次のような改善を図った。
- スキルの高いベテラン要員と経験の浅い要員にペアで業務を担当してもらう機会を増やし、OJTを通じてノウハウの伝承がなされるように配慮するとともに、比較的難度の低い作業を分担して実施することでベテランの負担軽減を図る。
- マニュアルの杓子定規的な運用を回避するため、定期的に要員の意見交換の場を設け、マニュアルに従うだけではうまくいかないことの共有や、マニュアルへの改善要望の聞き取りを行い、マニュアルの改訂に反映する。
なおデータベースについては直ちに改善する方法が見いだせなかったことから、将来的なAIによる情報収集の自動化の可能性等も探りつつ、現状の運用を継続することとした。