情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス7-4 CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積

プラクティス7-4 CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積

公開日:2026年4月28日

背景

従業員数1,200名規模でインテリア雑貨の小売を行うR社は、8年前から実店舗とは別にオンライン販売を開始し、現在では売上の半分がオンライン経由となっている。オンライン販売の規模拡大とともにサイバー攻撃への対処の必要に迫られ、5年前に情報システム部門のメンバー3名を中心としてCSIRTを設置した。現在ではR社の法務部門や広報部門と連携するなど体制も強化され、卸等の取引先のからも評価される存在となっている。一方で、CSIRT設立の中核だった従業員1名が3年前に退職した際、一時的にCSIRTの対応能力が大幅に低下し、回復まで時間を要することがあった。R社のCISOは、CSIRTの機能を持続的に維持させていくためには、業務を属人化させない仕組を整備することが自社の社会的責任を果たす上で必要なことを経営層に訴えかけ、その理解を得た上で対策案を推進していくこととなった。

R社の実践のステップ

R社のCISOが実践したステップは下記4点である。

  1. CSIRT要員の作業を可視化するためのタスク管理ツールを導入
  2. 自社で検知・対応したインシデント(予兆を含む)や社外から収集したインシデント、脅威、対策ソリューション等の情報をCSIRT内で記録・共有するデータベースを構築
  3. CSIRT要員であれば誰が対応しても同じ結果となるようにするためのマニュアルを整備
  4. (1)~(3)を用いた机上演習の定期実施を通じて、要員間での経験差をできるだけ縮小

R社の実践内容

R社のCISOはかつて社内の基幹情報システムの運用チームを担当していたことがあり、類似の状況で業務が属人化するプロセスを自ら体験していた。多忙の中では各要員が案件を抱え込みがちになり、結果として「〇〇のことはAさんしかわからない」という状況が生じてしまう。それは短期的には効率的でも、長期で見ると組織として望ましい状態とは言えない。そこでCISOは改善のための対策実施を通じて実現すべき目標として、次の各点を掲げることとした。

  • CSIRT内で誰が何をやっているかの可視化(特定の仕事が特定の要員に偏っていないかを把握)
  • CSIRT内での情報共有(経験知以外を偏りなく共有する)
  • 誰がやっても同じ結果となるような仕組みづくり
  • 経験知の限られた要員に経験を積んでもらう機会の提供

これらの達成のため、CISOが実施した具体的な取組とその結果等を次ページ表に示す。

表 2-7.5 R社のCISOが実施した取組(注釈1)
取組
具体的な実施内容
実施結果・観察事項等
タスク管理ツールの導入
-オープンソースのタスク管理ツールを導入
-インシデント対応のみでなく、CSIRT業務すべてについて、現在仕掛かり中のものが他の人にわかる程度の粒度で記入してもらう
-分析の結果、スキルの高い要員に作業が偏りがちであることが判明
CSIRT内情報共有環境の整備
-以下の情報を共有するデータベースをベンダに委託して構築:
-自社で検知・対応したインシデント(予兆を含む)
-社外から収集したインシデント・脅威情報
-対策ソリューション等
-CSIRT内のみでなく、広報や法務など、CSIRTと共同で業務を行う部署の担当者にもアクセス権限を提供
-新規配属者に「知りたい情報が集まっている」と好評
-ベテランからは「忙しいときには便利だが普段は社外情報源を見る方が便利」との意見あり
-自社体制でデータの網羅性の確保は困難
CSIRTマニュアルの整備
-次のような内容をオンラインマニュアル化:
-インシデントハンドリングの手順
-インシデント発生時のエスカレーションの手順
-インシデント発生部署とのコミュニケーション時の留意点
-ベンダとのコミュニケーション時の留意点
-偽情報・誤情報を識別することの困難さの理解
-演習の企画及び参加時の対応
-マニュアルの内容はFIRSTの国際規格(注釈2)に準拠
-マニュアルが存在することで、対応漏れが防げるとの評価の意見が多い
-一方で、「マニュアルに書かれていないことはやらないてよいという反応が心配」との意見もある
机上演習の定期実施
-「ある部署でランサムウェアに感染」等の条件を設定し、当該部署にも協力してもらい、インシデント対応の机上演習を実施する
-半年に1回実施し、各自が担当する役割を毎回変更するとともに、参加しない要員も交互に設定
-参加者からは「R社では事業継続に影響するインシデント発生が稀なのでためになる」との感想が多い
  1. 注釈1
    本プラクティス実践時に参考となる資料として、日本シーサート協議会が「CSIRT構築ガイド」のページを公表している。
  2. 注釈2
    FIRST(Forum of Incident Response and Security Teams)はCSIRTコミュニティの相互協力を目的として設立された非営利団体であり、同団体が策定した規格の例として、"FIRST CSIRT Framework"がある(Version1.1の日本語抄訳は以下で公開)。

R社のCISOはこの結果をもとに、CSIRTの運用について次のような改善を図った。

  • スキルの高いベテラン要員と経験の浅い要員にペアで業務を担当してもらう機会を増やし、OJTを通じてノウハウの伝承がなされるように配慮するとともに、比較的難度の低い作業を分担して実施することでベテランの負担軽減を図る。
  • マニュアルの杓子定規的な運用を回避するため、定期的に要員の意見交換の場を設け、マニュアルに従うだけではうまくいかないことの共有や、マニュアルへの改善要望の聞き取りを行い、マニュアルの改訂に反映する。

なおデータベースについては直ちに改善する方法が見いだせなかったことから、将来的なAIによる情報収集の自動化の可能性等も探りつつ、現状の運用を継続することとした。

前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開