1. 経営層から理解を得る
経営層がまだCSIRTを理解していない場合、CSIRTに関する説明資料を作成し、経営層にCSIRTとは何か、CSIRTはなぜ必要になるかを伝え、理解してもらう必要があります。
経営層からの理解を得るのが難しい場合は、CSIRTや現状のサイバー攻撃の拡大やセキュリティ事故が実際に発生した場合の対応について、十分な情報収集および検討した結果をまとめ、文書にして経営層に相談してみます。
それでも経営層から理解を得られない場合は、まずはCSIRTの必要性を理解する同僚と上司を増やしていくことが重要になってきます。
2. 組織内の現状把握
組織内における業務の把握も必要となります。各部署の業務フロー、部署間の情報共有及び連携の状況、各部署の責任者及びキーパーソンが誰なのかを把握することも大事になってきます。
その後、今後CSIRTを構築するにあたり大きくかかわってくる可能性のある主要なスタッフに対してヒアリングを実施します。
具体的には「各部署のインシデント対応の責任者」「過去のインシデント対応時に関わったことのある人」「情報セキュリティに詳しい人」「業務システムの運用や管理に詳しい人」「情報セキュリティに関する業務の職責を持つ人」にヒアリングします。
主要なスタッフのへヒアリングと並行して、インシデント対応に関係する規則について把握を進めます。
3. 組織内CSIRT 構築活動のためのチーム結成
前述の組織内の現状把握を実施することにより、インシデント対応に関してスキルと能力のある人や、組織内CSIRT に必要な要員の候補者を見出すことができます。
それらの候補者を元に、組織内CSIRT構築の活動をする人を選定しチームを構成します。
具体的には「インシデント対応が可能な人」「情報セキュリティや業務システムに詳しい人」「情報セキュリティに関する職務上の責任を持つ人」「組織内の業務に詳しい人、経験の豊富な人」をメンバーに選定することが望ましいです。
そして、最後に一番重要になってくるのが、必ず活動を推進する選任を持つリーダーを指定します。業務が繁忙期を迎えたり、CSIRT構築何か問題が生じ壁にぶつかった際に、必ず活動を推進していくリーダーが不在だとCSIRT構築活動は停滞しがちになります。
4. 組織内CSIRT の設計と計画
活動チームにおいて「組織内CSIRT」に関する以下の項目を検討し、「活動の対象(サービス対象)」「責任と使命」「活動の対象に対して、提供するサービス」「組織内における位置づけ」「サービス対象の中で、他に重要なポイント」「サービス対象に対する責任と権限」を決定します。
組織内における位置づけとは、インシデント報告の窓口、各部署との調整役などのための位置づけを意味します。
サービス対象の中で、他に重要なポイントとは、お客様窓口はどこにするか、インシデントが発生しやすい部署はどこかなどです。
これらの情報を文書で記述するにより、組織内CSIRTの基礎的な枠組みができあります。
以上、CSIRTはどのよう構築すればよいかを大まかにみてきました。CSIRTの構築にはまだまだ必要なステップがあります。次回はその他に必要なステップをみていきます。