高度サイバー攻撃対策として、府省庁や行政機関などに向けては、NISC(内閣サイバーセキュリティセンター)の「サイバーセキュリティ戦略」等で、CSIRT(Computer Security Incident Response Team)の導入を施策化している。民間企業(特に中小企業)については、「サイバーセキュリティ経営ガイドライン」が公表されCSIRTの整備を推奨しているが、対策は一部の企業を除き普及していない。 セキュリティの対策が進まない要因として中小企業の経営者が自社における現実的な高度サイバー攻撃の脅威や影響の大きさを十分に認識することが難しく、また、リスクを認識できたとしても、その後、CSIRT導入にむけて何をなすべきかの具体的な手順が明確になっていないことが挙げられる。そこで、筆者らは、経営者がサイバー攻撃リスクを明確に認識する方法、CSIRT導入を決断するまでの手順およびCSIRT導入のための社内対応について研究した。その研究過程においては、CSIRT導入を、事業の必要性に合わせて進めることが出来るように考慮した。
