自治体CSIRT

不正アクセスや情報漏えいが疑われたとき、誰がどの順で動くかが決まっていないと、初動の遅れが被害を広げる。CSIRT（Computer Security Incident Response Team）は、平時は脅威情報の収集と訓練を、有事は検知から封じ込め、原因調査、復旧、報告までを統括する体制であり、自治体ではセキュリティポリシーに基づき設置する。最高情報統括責任者（CISO・CIO）の指揮の下、情報部門と業務部門、外部の専門事業者をつなぐ司令塔の役割を担う。サイバーセキュリティ基本法や総務省のガイドラインは、自治体に体制整備と訓練を求めており、都道府県の自治体情報セキュリティクラウドや国の機関への報告経路もCSIRTが担う。担当者にとっては、CSIRTが机上の組織図ではなく、連絡網と判断権限を平時から定めておくことで初動が機能する点が要点となる。

平時の備えが初動を決める

CSIRTがインシデント時に機能するかは、連絡網・エスカレーション基準・外部委託先との契約を平時に整えてあるかで決まる。誰が一次受けし、どの段階で管理職や首長へ上げ、どの基準で外部の専門事業者へ支援を要請するかを文書化しておかないと、有事に判断が止まる。年次の訓練や、想定シナリオに沿って手順を確認する机上演習で、検知から報告までの所要時間を測り、手順の穴を見つけて見直す運用が現実的である。ログの保全や端末の隔離といった証拠を壊さない初動も、平時に手順化していなければ現場で迷う。形だけの設置に終わらせず、実際に動かして練度を保つことが要となる。

報告経路

重大なインシデントは、所管省庁や都道府県、自治体情報セキュリティクラウドの運用主体へ報告しなければならない。個人情報の漏えいを伴う場合は、別途、個人情報保護委員会への報告と本人通知も必要になり、報告先と様式が複線になる。どの事象がどの経路にあたるかの判断は有事に迷いやすいため、報告の要否基準・宛先・連絡様式をあらかじめ定めてひな型を用意しておくことで、初動の混乱を避けられる。報告の遅れ自体が被害拡大や信頼失墜につながるため、速報と確報の二段構えで早期の第一報を優先する。