悩み(2) インシデント対応経験がない要員でCSIRTを組成したが対応に不安がある
b社では、インシデント発生時に対応体制が明確でなく対応に時間を要した反省から、CSIRTを設置することとなった。しかし、自社にセキュリティ専門家が十分にいない状況であった。
基本情報
b社の状況
- 現在、セキュリティ委員会、CSIRTといったセキュリティ管理体制を構築している段階である。
- IT部門がセキュリティを主管しているが、セキュリティ専門家が十分にはいない。
- 外部ネットワークに接続していない制御システムを扱う製造部門では、セキュリティ意識が定着していないという課題がある。
b社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 500人 | |
| 管理 体制 | CISOの有無 | 有(CROが兼任) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
b社では、最近、ビジネスメール詐欺に遭った経験がある。しかし、インシデント対応体制が整備されておらず、インシデント発生時の社内外への連絡体制が不十分であった。そのため、社内の関連部署や外部機関と円滑に連携できず、対応完了までに約1ヶ月もの時間を要した。
この件を受けて、IT部門長を筆頭に、CSIRTを設置することになったが、社内にセキュリティ専門家が十分にいないことが問題となっていた。
取組(2) 社外専門家を活用しながら自社でサイバーセキュリティ人材を育成する
解決に向けたアプローチ
CSIRT(イメージ)
- 将来的に自社社員のみで運営可能なよう、外部専門家からスキル移転を行う
- 若手社員をCSIRTに配置し、ローテーションを行う
そこでb社は、外部のサイバーセキュリティ専門家を活用しながら、自社でサイバーセキュリティ人材を育成することを検討している。
- 体制構築~構築後序盤は外部専門家を関与させる。
- 社員のみでもCSIRTが運営できるよう、外部専門家からスキル移転を行う。
- ローテーションによる人的交流を活用し、CSIRTと各部署との連携のしやすさを促進させる。
人材ロ―テーションの副次効果として、以下も期待している。
- CSIRTを経て、若手社員にセキュリティリテラシーを身に着けさせるとともに、ローテーションで各部に再配置されることで、各部門(特に製造部門)でのセキュリティ意識の向上を図る。
得られた知見
IT部門長は、外部専門家に依存してしまうと、自社で適切な判断ができなくなってしまうおそれがあると考え、CISRTが自社で運営可能な体制となるよう、ローテーションを行う人材のキャリアパスを検討することが重要と考えている。
また、これまで制御システムは外部ネットワークに接続していないケースが多く、サイバー攻撃等は受けにくいと考えられてきた。しかし、近年では製造ラインでIoT機器の利用も活発になってきており、サイバーセキュリティリスクが高まっている。
そのため、IT部門長は、製造部門においてもセキュリティ意識を高めることが必要不可欠であると考えている。