wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

CSIRTとは、外部との情報交換のための信頼の枠組み

CSIRTに関して一番本質的なところをついてるものの1つが、こちらの山賀さんの講演で触れられているところと考える。
作ったから云々でもなく、外部から情報を得るのみでもなく、適切な情報も出していくという営みは必要だ。

外部との情報交換を行うインタフェース=CSIRTならば…

「情報交換を行うインタフェースがあればCSIRTを設置したといえる」のか?と言われると、これはYesともNoともいえる。
とある人wは、「最低限外向けの窓口(PoC)を設置してくれればCSIRT作ったといえるのでは」と述べているが、これは窓口対応を正しく理解していて、本当に必要な機能は何なのか?というのをわかっている人向けの説明といえる。

そこすら理解していない人が、「あ、それでいいんだ。んじゃとりあえず外部に対して窓口のメールアドレス公開するか」と安易に動くと、たいてい痛い目を見る。

窓口すらない場合

窓口すらない場合は、そもそも何か起こったかを外から送ってもらう統一的な枠組みを用意していないといえる(図では「Webサーバおかしい」ということを言おうとしている報告者が「どこに送るのさ?」と不安になってる様を描いている)。
昨今の状況でこれは考えづらいともいえるが、後で述べる例との対比のために、あえて出している。

窓口「だけ」ある場合

窓口「だけ」あるという場合は、窓口がない場合よりもひどいことになりうる。
報告者から報告を受け取った後、窓口から先どこに持って行っていいのかわからず、苦労することになる。
窓口を設置した企業なり団体なりの所帯が小さければ、まだなんとかなるかもしれない。しかし、企業規模なり団体規模なりが大きくなってくると、「整理されたエスカレーション先」なり「場合によって送る聞き先」なりを事前に把握しておかないと、確実に死ねる。

窓口+エスカレーション先がある場合

窓口を設定する意義の1つは、コミュニケーションや情報交換/コーディネーションを円滑にするところにある。
中と外のコーディネーションもそうだし、中のコーディネーションもそう。中→外の情報伝達も、外→中の情報伝達も、最終的にはPoCチームもしくはPoCチームから近いところでハンドリングされることになる。

窓口を設置するからには、「窓口がエスカレーションなりする体制を整える」ことが必須と言っているわけだ。

結論:CSIRTを作るならば窓口(PoC)の設置を&窓口を設置するならば、窓口からエスカレーションできるしくみもあわせて実現を!

窓口(PoC)が何をやるのか?というのを、自分なりの整理も兼ねて書いてみた。
兼任/専任というスタイルもさることながら、「窓口」という機能に着目して考えると、こういう見方もあるとご理解いただければ幸いである。