サイバー攻撃を完全に防ぐことは困難な状況となっており、事故前提のサイバーセキュリティ対応体制として、CISO（シーアイエスオー、Chief Information Security Officer）を責任者として、セキュリティインシデント対応専門チームであるCSIRT（シーサート、Computer Security Incident Response Team）や、システムおよびネットワークを監視するSOC（ソック、Security Operation Center）を構築し、「SIEM（シーム、Security Information and Event Management）」による統合ログ管理・監視から得られる知見に基づいた運用を行うことが一般的になりつつあります。

 こうした組織や体制は、基本的にインシデント発生時、いわゆる「有事」のためのものであるため、事件・事故発生時の役割に注目が集まりがちですが、何も起こらない平時のときこそ、いざというときに迅速な対応がとれる準備を行う必要があります。今回は、平時のCISOとCSIRTがどのような準備を行う必要があるのかを整理してみましょう。

 CISOは情報セキュリティ対応体制の構築および強化の責任者であり、CSIRTの活動を含むセキュリティ施策全般の予算獲得やそれらの施策の効果を検証する責任者でもあります。また、法的問題に関わることがあるため、法執行機関とのパイプを持つことが求められます。

[平時のCISOの責務]
 ・体制構築とその強化
 ・予算獲得と効果検証
 ・法執行機関とのパイプ維持

 CSIRTは情報セキュリティ対応体制の中核となる実動部隊として、社内規程や運用細則の整備を行うほか、社内運用の改善をサポートし、セキュリティにかかわるレポートの作成と報告、セキュリティに関する追加施策や投資を実行します。また、社内向けの啓発活動や緊急時等の対応訓練、セキュリティ施策全般に関するPDCAサイクルの実施などを行います。セキュリティ専門企業との共同または委託によってSIEMの構築・運用を行い、インシデントハンドリングを行います。

[平時のCSIRTの役割]
 ・社内規定と運用細則の整備
 ・社内運用改善サポート
 ・レポート作成と報告
 ・セキュリティ追加施策と投資の実行
 ・社内啓蒙や訓練、PDCAサイクルの実施
 ・SIEMの構築・運用
 ・セキュリティ専門企業