DNVエキスパートインタビュー

机上の空論ではない
"生きた対応体制"を共創する

机上の空論ではない
「生きた対応体制」を共創する

“Beyond theory: Co-create an operating model for real-world use”

自動車メーカーでの“ひとりCSIRT”立ち上げの経験から、「機能と組織を区別し、企業文化に溶け込む形で実装する」ことの重要性を痛感しました。形骸化しない、現場で本当に役立つ「セキュリティ消防隊」のような組織作りについてお話しします。

本インタビューより

#04

福田かおり

KAORI FUKUDA

Cybersecurity Laboratory エキスパート

Introduction

サイバー攻撃の巧妙化と UN-R155 に代表される法規制の厳格化により、製品（PSIRT）と組織（CSIRT）のインシデント対応専門チームは、今や企業存続の必須条件となっている。しかし多くの企業が、「誰が主導し、どんな体制が正解なのか」「既存の開発プロセスや品質保証とどう連携するのか」といった PSIRT 特有の壁に直面している。

今回紹介する福田さんは、自動車メーカーでの“ひとりCSIRT”立ち上げを経てコンサルタントに転身した異色の専門家。彼女が掲げるのは、「機能と組織を区別し、企業文化に溶け込む形で実装する」という実体験に基づく信念だ。形式に留まらない、真に機能するインシデント対応体制の本質に迫る。

CSIRT/PSIRTの3つの役割

このように多くの役割がありますが、私はCSIRT/PSIRTを、企業や組織のセキュリティを守るための「セキュリティ消防隊」だと捉えています。

インシデント発生時の「消火活動（事後対応）」だけでなく、インシデントを未然に防ぐ「防火・防災活動（予防・教育）」、そして社内外の「119番（通報窓口）」としての役割も担います。

CSIRT/PSIRTの構築支援とは、単に組織図や手順書を作ることに留まらない「組織を動かす仕組み作り」です。CSIRT/PSIRTが活動する範囲（Constituency）を明確にし、本社のみを対象とするのか、ホールディングス全体とするのか、あるいは開発部門など特定の業務領域に限定するのかといった前提を定義した上で、既存の業務フローに合わせたプロセス設計、部門間の役割定義、そしてチームを機能させる人材の育成を行うことがその核となります。

なぜ今、CSIRT/PSIRTが必要なのか？

CSIRT/PSIRTは、かつては先進的な取り組みとされていましたが、今やその設置は企業の社会的責任であり、ビジネス継続のために欠かせない条件となっています。

特に自動車業界では、UN-R155への対応が型式認証の前提となり、PSIRTによる車両ライフサイクル（開発・生産・生産後）全体での脆弱性管理とインシデント対応が法的に求められています。

もはや「努力義務」ではなく、対応できなければ型式認証が取得できない、つまりビジネスが継続できなくなるという「義務」になっています。すでに価値というより、「なければ業界から外される時代」になっていると私は考えています。

実効性のある体制とは？「機能」と「チーム」のハイブリッド

組織構築について「どのような体制が正解か？」と多く質問されますが、絶対的な正解はありません。 CSIRT/PSIRTの「機能」と「チーム（組織）」は分けて考えるべきであり、大事なのは他社を真似するのではなく、自社文化や業務スタイルに適合させることです。新たな組織が必須ではなく、既存組織内でCSIRT/PSIRT機能をどう実装するかをまず考えます。セキュリティ意識を「自分ごと」にすることが実効性の第一歩です。

一方、既存組織だけではカバーできない横断活動も必要なため、私はCSIRT/PSIRTチームを「宇宙船」と表現します。宇宙船が社内を横断して必要なセキュリティ活動を展開するイメージです。新組織（宇宙船）と既存組織のハイブリッド設計が実効性のある体制の基盤となります。

CSIRT/PSIRTが宇宙船のように組織を横断して、全員でセキュリティを守ります。

PSIRT構築：成功の鍵とDNVの役割

製品開発に関わるPSIRTの現場では、特有の課題が発生します。脆弱性が発見されても、開発部隊から「PSIRTは何のために来たのか？」「費用は誰が負担するのか？」といった抵抗を受けることがあります。PSIRTは品質の最終責任を負えず、開発側は「承認」や「保証」を求める場合もあるため、両者の間には認識や役割分担のギャップが生じがちです。

UN-R155は、サイバーセキュリティインシデントに迅速かつ適切に対応できる仕組みを含むCSMSの構築を求めています。しかし、規格はあくまで方向性を示すものであり、実務レベルでの具体的な運用方法や、組織間の調整・合意形成まではカバーしていません。

ここでDNVの支援価値が発揮されます。規格対応には「唯一の正解」はなく、実装や運用は他社事例やコミュニティの知見に大きく依存します。私自身、NCAの理事として、また講師・委員としての活動を通じて、他社CSIRT/PSIRTの生の実例や課題、対応の工夫に触れてきました。さらに、他社や各種業界団体、専門化との意見交換や情報収集、連携の機会も多く、こうした外部とのつながりを踏まえた支援が可能です。机上の空論ではなく、現場で実際に機能する規格対応の実装手順や開発部隊との現実的な調整方法まで踏み込んだ、実践的な支援を提供します。

共通認識が組織を動かす：CSIRT/PSIRT成功への重要要素

構築がうまくいかない典型的な例は、「高機能なツールを導入したが、運用が回らない」「詳細な手順書を作ったが、作成した担当者の異動で誰も使えなくなった」といったものです。これらはいずれも、セキュリティを「自分ごと」として捉え、組織の日常的な実務プロセスにまで十分に落とし込めていないことが原因で発生します。

CSIRT/PSIRTを正しく構築することで、こうした課題を解決し、組織は大きな効果を得ることができます。

ただし、これらの効果を得るためには、単に組織を作るだけでは不十分です。「守るべき資産は何か、ミッションは何か」といった、この「共通認識」を醸成し、実務プロセスに落とし込むことが不可欠です。

番外編：原動力は、まだ見ぬ景色への探求心

私のリフレッシュ方法は「旅に出ること」。新しい環境に身を置くと、頭がリセットされて新しい気づきが生まれます。趣味は少し変わっていて、お茶やお菓子めぐりと一緒に「地層・断層めぐり」をすることもあります。地球の歴史が刻まれた場所に、つい足が出向いてしまうようです。

壮大な時間の流れが作り出した地球の景色を眺めていると、目の前の課題が少し違って見えてくるから不思議です。常に新しい世界に触れ、視野を広げることが、セキュリティの本質を考える上でも役立っているのかもしれません。

福田かおり | Kaori Fukuda

Cybersecurity Laboratory エキスパート

自動車メーカーにて技術部門/全社情報システム構築・運営、全社/グループ会社の情報セキュリティ推進体制構築・運営、情報セキュリティ業務、CSIRT/PSIRT構築・運営、コネクティッドカーのセキュリティ対策支援業務に従事。日本シーサート協議会（NCA）では地区活動委員、トレーニング委員、TRANSITS講師その他カンファレンス等での講師を担う。

最後に、このページをご覧の皆さまへ

セキュリティは目的ではなく、ビジネスを守り、成長させるための手段です。そして、その本質を考えるには、セキュリティ以外の広い世界をしることが大切だと考えています。

完璧な組織を一度に作ろうとする必要はありません。まずは一歩踏出すことが重要です。皆様の状況に寄り添い、一緒に歩きながら、実効性のある体制づくりをお手伝いさせていただきます。どんなことでも、お気軽にご相談ください。

Interview to expert