このようにサイバーセキュリティが経営リスクとして捉えられ、セキュリティインシデント発生時の被害を最小化するために構築されるCSIRTですが、実際の組織運営において課題を感じている企業は決して少なくありません。

　その代表例として挙げられるのが、インシデント対応のための情報や経験、知識不足です。たとえばマルウェアに感染した際、その感染経路や影響を調査するためには、相応の経験やノウハウが必要となります。

　企業によっては、CSIRT担当者が専任ではなく、情報システム部門などと兼任であることもあります。しかしながらCSIRTのメンバーは、有事のみならず、平時においてもさまざまな業務があります。具体的には、他社で発生しているサイバー攻撃の情報を収集し、同様の攻撃が自社に対して行われたときの影響を分析する、あるいは公表された脆弱性情報を整理し、自社システムの影響を調査するなどです。ほかの業務に対応しながら、このようなCSIRT業務までこなすのはかなり難しいでしょう。

「うちの会社は規模が小さいから、まさか狙われることはない」という声を聞くこともいまだに少なくありませんが、セキュリティ対策が不十分な小規模な企業を攻撃し、そこを踏み台として大手企業を狙う手口もあり、決して油断はできません。あらかじめサイバー攻撃を受けることを前提として、有事に備えることは極めて重要です。