世の中CSIRTという文字列が…
いろんなところで見られるように。
でも、どこまでやればいいの?とか何やればいいの?という話はあちこちで…。
前提:CSIRTのコンスティチュエンシーとかサービス範囲とかはすでに決まっている
CSIRT設置するにあたって、「コンスティチュエンシー」や「サービス範囲」をはじめとすることは、すでに決まっているものとして以下の話を書いてたりします。
CSIRTとは、外部との情報交換のための信頼の枠組み
CSIRTに関して一番本質的なところをついてるものの1つが、こちらの山賀さんの講演で触れられているところと考える。
作ったから云々でもなく、外部から情報を得るのみでもなく、適切な情報も出していくという営みは必要だ。
外部との情報交換を行うインタフェース=CSIRTならば…
「情報交換を行うインタフェースがあればCSIRTを設置したといえる」のか?と言われると、これはYesともNoともいえる。
とある人wは、「最低限外向けの窓口(PoC)を設置してくれればCSIRT作ったといえるのでは」と述べているが、これは窓口対応を正しく理解していて、本当に必要な機能は何なのか?というのをわかっている人向けの説明といえる。
そこすら理解していない人が、「あ、それでいいんだ。んじゃとりあえず外部に対して窓口のメールアドレス公開するか」と安易に動くと、たいてい痛い目を見る。
窓口「だけ」ある場合
窓口「だけ」あるという場合は、窓口がない場合よりもひどいことになりうる。
報告者から報告を受け取った後、窓口から先どこに持って行っていいのかわからず、苦労することになる。
窓口を設置した企業なり団体なりの所帯が小さければ、まだなんとかなるかもしれない。しかし、企業規模なり団体規模なりが大きくなってくると、「整理されたエスカレーション先」なり「場合によって送る聞き先」なりを事前に把握しておかないと、確実に死ねる。
窓口+エスカレーション先がある場合
窓口を設定する意義の1つは、コミュニケーションや情報交換/コーディネーションを円滑にするところにある。
中と外のコーディネーションもそうだし、中のコーディネーションもそう。中→外の情報伝達も、外→中の情報伝達も、最終的にはPoCチームもしくはPoCチームから近いところでハンドリングされることになる。
窓口を設置するからには、「窓口がエスカレーションなりする体制を整える」ことが必須と言っているわけだ。
結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!
窓口(PoC)が何をやるのか?というのを、自分なりの整理も兼ねて書いてみた。
兼任/専任というスタイルもさることながら、「窓口」という機能に着目して考えると、こういう見方もあるとご理解いただければ幸いである。