6. 組織内CSIRT関連規則類の整備
予算やメンバーなどのリソースが確保できれば、次はいよいよ具体的な組織内CSIRTのポリシーや手順を整備します。
インシデント対応に関するポリシー、情報セキュリティに関するポリシー、その他、業務活動に必要なポリシーを整備して、インシデント対応に関する手順、情報セキュリティ活動に関する手順、その他、業務活動に必要な手順を整備しておきます。
具体的には、インシデント発生時に連絡フローや、どのような種類のインシデントを報告するかなどについて、ポリシーや手順として整備します。
7. CSIRT要員(スタッフ)への教育
組織内CSIRT関連のポリシーや手順について整備できたら、今度はCSIRTのメンバーに対して教育をしておく必要があります。
いざ、インシデントが発生した際に、スムーズに対応できるようにしたり、日頃からセキュリティ意識を高めるためにも必要不可欠なステップです。
具体的には、各ポリシー及び手順、情報セキュリティ全般に関する知識、その他、業務に必要な知識を教育します。
あわせて、インシデント対応の事前訓練も実施しておきます。避難訓練のように、特定のインシデントが発生したとの想定のもと、インシデントの対応を訓練するとよいです。
その訓練を元に、業務に関するプロセスの評価、習熟度を把握、不足している能力やスキルの再教育を繰り返していけば、より実践的な組織内CSIRTになることを期待できます。
8. CSIRTの告知と活動開始
組織内において、上記の準備が整ったら、CSIRTに関する告知を実施します。
サービス対象や、情報共有及び連携活動をする関連部署や外部組織に対し、ミッションステートメントと活動内容(提供するサービス内容)、報告の手段などについて告知します。
告知をした相手方から反応や意見を得たり、インシデント対応を実施したところからフィードバックが得られることが予想されます。得られたフィードバックを共有し、CSIRTの活動を改善します。PDCSサイクルを活用し、フレームワーク、ポリシー・手順、活動内容などを継続して見直すと、よりよい組織内CSIRTが構築できます。