会社でプロダクト横断的な業務が増えてきたこともあり、SREチームで読み合わせました。

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

• 作者:Jeff Bollinger,Brandon Enright,Matthew Valites
• オライリー・ジャパン

Amazon

TL;DR

• 複数のプロダクトを持つ企業の現場担当者向けに書かれた本
• プレイブックの考え方は、アプリケーション開発チームとは異なり勉強になった

本書について

CSIRTってなんだろう？と気になったので読んだ本。

勤務先はまだアプリケーション開発者がSREとセキュリティエンジニアを兼ねているような状態なので、CSICOの取り組み自体は正直あまりピンとこない箇所もあった。

Yahoo!JapanやDeNAなどの大企業のセキュリティ担当者に転生したら...と想像しながら読むと面白いかもしれない。

プレイブックの考え方

スタートアップでセキュリティを意識するにあたって、以下の点が気になっていた。

• アプリケーション開発のためのアプローチ（スクラム・ウォーターフォールなど）はセキュリティにおいても有効なのか？
• トイルをなくすにはどうしたらいいか？

プレイブックはそうした問題への解決策だった。すなわち、

• イベント駆動型で機能する組織にする。問題発生時にプレイブックを用いて分析する（つまり手順書）
• プレイブックにクエリなどを埋め込み、日々改善を重ねる

本書の後半には具体的なクエリまで紹介されていて、実感が湧いた。ただ、小規模な組織なら実務ではAmazon GuardDutyのようなベンダー提供のルールセット（または機械学習）を使うほうが現実的かもしれない。

まとめ

チームの運営モデルとしてプレイブックを知ることができたのは有益でした。自分たちの組織に合わせてマネージドサービスを使って運用をカスタムしていければいいのかな、と思います。