JSOC 岩井 博樹
SBCSIRT 笹木 一義
フリーライター 松山 正隼
[前回までのあらすじ]
BP商事の若手エンジニアA君は,社内に多数あるWebサイトのぜい弱性一斉検査の準備を進める過程で,違う事業部との作業が進めにくい「部署の壁」に突き当たる。上司のS課長に提案し,先輩エンジニアBさんの協力を得て部署横断的なインシデント対応体制を築く方法を模索し始めたA君は,セキュリティ・インシデントに対応する組織であるCSIRTの存在を知る。早速IT企画室をCSIRTにする計画を練ったA君だったが,S課長に「CSIRTありきではなく,インシデント対応体制を考えることが重要」と一喝される。道に迷ったA君だったが,CSIRT入門セミナーの講師を務める日本シーサート協議会のN氏から「インシデント対応で相談,連絡できる仲間を作ったら」とアドバイスされ,仲間作りに着手したのだった。

 ここはBP商事のIT企画室。入社3年目のエンジニアA君は,昨日参加した日本シーサート協議会の「CSIRT(シーサート)入門」セミナーの内容を,上司のS課長と先輩のBさんに報告していた。特にセミナーの講師のN氏からアドバイスしてもらった「仲間作り」について,A君は熱く語った。

S課長:なるほど「仲間作り」か。

Bさん:確かに,まずできるところから手を付けるというのは現実的な考えかも。

A君:そうなんです! まずCSIRTありきで考えないというS課長のご意見と本質的に一緒ですし。

S課長:それでは,まず情シスに相談に行ってみるか?

A君:はい。それで,情シスにも顔が利くBさんにも一緒に行ってもらいたいんですけど。

S課長:そうだな。Bさん,ちょっと手伝ってやってくれ。

Bさん:はい。では,今から情シスのJさんにアポを取ってみます。

 その日の午後,A君はBさんと情シスのJさんのところに出向いた。A君は「CSIRTとは何か」から「仲間作りの必要性」まで,一通りJさんに説明した。時に熱くなりすぎるA君をBさんがうまくフォローしながら,Jさんに伝えたいことは何とか伝えられた。

Jさん:お話はわかりました。私もCSIRTの話は聞いたことがあるので,興味がないわけではないんです。でもねぇ。確かに我が社の今のインシデント対応体制が充分でないことはわかるんですが,情シスとしてはそこまで必要性を感じてないですし,それでなくても人手が足りない今の状況でこれ以上仕事を増やしたくないというか…。

A君:うーん,そうですか…。

情報共有できないから再発する

 A君は,落胆の色を隠せなかった。仲間作りは最初の段階で頓挫かとあきらめかけたそのとき,A君と同期の女性エンジニアKさんが声をかけてきた。3人の話をそばの席でたまたま聞いていたらしい。

 Kさんは情報システム部で最も若いエンジニアで,基本的なインシデント対応作業を担当している。例えば,社員の使用しているパソコンがウイルスに感染した場合の復旧作業などだ。

Kさん:あのぉ,盗み聞きするつもりはなかったんですけど,どうしても気になってしまって…。

Jさん:何だよ急に!

Kさん:すみません。でも今のAさんのお話に関して,どうしてもお話ししたいことがあるんです。

A君:えっ,何ですか?

Kさん:(Jさんに向かって)お話ししてよろしいですか?

Jさん:別に構わないけど。

Kさん:私には,社内全体のインシデント対応体制がどうとか,そういった大きな話はわからないんですが,インシデントに現場で対応している私としてはどうしても何とかしてほしいことがあるんです。

A君:どんなことですか?

Kさん:先日のUSBメモリーでウイルスに感染してしまったインシデントは,Aさんもご存知ですよね?

A君:はい。

Kさん:あれはたぶん防げたはずです。

A君:えっ?!

 Kさんによると,先日のUSBメモリーによるウイルス感染の1週間ほど前に,実は全く同じインシデントが発生していたという(図1)。そのときは,感染したパソコンが1台で,異常に気がついたユーザーがすぐ情シスに連絡してきたため,大きなトラブルにならずに済んだのだそうだ。

図1●法人販売部のインシデント以前に同じウイルス騒ぎを起こした際の注意喚起は功を奏しなかった
注意喚起のメールはあまり読まれず,社内掲示板も見られなかった。その結果,法人販売部で同じ騒ぎが起こってしまった。
[画像のクリックで拡大表示]

ここからは会員の登録が必要です。