A君：はい。IT企画室が，販売事業部だけでなく全社的なセキュリティ対策について検討する役目を任されているわけですよね。それであればいっそのこと，IT企画室を組織内CSIRT，つまりBP-CERTにして，社内全体を統括するようにすれば話が早いかなと思いまして。
S課長：確かに君の言うことは理想論としては間違っていないと思う。しかし，こういう体制を作ったところで，機能すると思うか？
A君：と言いますと？
S課長：社内で発生したセキュリティ・インシデントを，この体制でBP-CERTがちゃんと把握できるようになるとは思えないんだ。

S課長：それができるくらいなら，とっくにやってるよ。それにフローをいきなり決めても，機能するとは限らない（図4）。例えばインシデントを起こしてしまった者の心理として，それを恥だと考えて隠れてこっそり直そうとしてしまう傾向があったりするわけだ。「体制がこうなりましたから情報を上げてください」と言っても，うまくいかないことは想像が付くだろう。それに，一部署にすぎないIT企画室がいきなり全事業部の上に立つことになったら，他の事業部からの反発はどうしてもあるだろう。

第3回 CSIRTの立ち上げ準備を始めよう――一筋縄ではいかない組織変更，現状を把握することから着手（2ページ目） | 日経 xTECH（クロステック）