ITpro Special
週間WEEKLY ITpro Special ITpro

社内情報流失で問われる経営マネジメント

基調講演 ANAシステムズ
役割を決め「自衛消防隊」を目指せば
最小限の自社要員でCSIRTを実現できる

ANAシステムズ
品質・セキュリティ監理室
ANAグループ情報
セキュリティセンター
ASY-CSIRT
エグゼクティブマネージャー
阿部 恭一 氏

 基調講演はANAシステムズの阿部恭一氏によるもの。阿部氏は全日本空輸(ANA)グループ全体に対して情報セキュリティに目配せをする即応部隊CSIRT(Computer Security Incident Response Team、シーサート)を率いる。安全運航の一環としてサイバーセキュリティを確保するためCSIRTを編成・運用しているが、限られた人員とコストで運営しなければならないため、自社でやるべき部分と外部ベンダーに任せる部分を分けている。「まずはボヤを消火する『自衛消防隊』レベルを目指すことにしました。これだけでかなりのインシデントを防ぐことができます。そして本格的な火災は専門の消防隊に任せる。下手に動くと、必要な痕跡を消し、のちの調査の障害にもなります」(阿部氏)

 企業規模にもよるが、阿部氏は「自衛消防隊は最小2人で編成できる」と話す。例えばその分担は、外部や経営者との連絡窓口、全体統制、社内調整に1人、セキュリティ機器導入計画策定や資産管理アセスメントに1人を割り当て、有事の際は後者の1人がインシデント対応に回る。ただし、手に負えないときに備え、アウトソースの支援も視野に入れておく。平時のセキュリティ状況監視や脆弱性診断、有事の状況解析や被害状況確認、フォレンジックは専門のスキルやノウハウが必要になるため、外部 ベンダーの力を借りる。この体制が効果を発揮するために守るべき領域を極小化し、その手段としてクラウドの活用も考える必要があるという。

 「サイバーセキュリティは普段からの訓練が大切です。大事故を想定した訓練よりもボヤを確実に消すことを心がける。いざという時に『誰が、何をするのか』をあらかじめ決めておき、その行動を訓練で検証することで迅速さと正確さがアップしていく」。阿部氏は日頃の訓練の重要性を訴えた。

特別講演 リクルートテクノロジーズ
技術力が高い人材の採用・育成とモチベーションの維持
セキュリティ担当者が幸せになるCSIRTをつくりたい

リクルートテクノロジーズ
サイバーセキュリティ
エンジニアリング部
執行役員エグゼクティブマネジャー
鴨志田 昭輝 氏

 リクルートは2012年に分社化し、持ち株会社のリクルートホールディングスのもと、就職支援サービスのリクルートキャリアなどの事業会社、リクルートテクノロジーズのようなグループ企業にサービスを提供する機能会社に分かれている。

 CSIRTは専門部隊として2015年度から本格的に活動を始めた。リクルートホールディングスと、リクルートテクノロジーズ、管理部門のリクルートアドミニストレーションの3社が中心となっている。CSIRTの構築により、グループ各社で発生したインシデント情報の共有、早期警戒が可能になった。

 CSIRTをつくるにあたり、技術の高い人材の採用・育成と、モチベーションの維持などを重視した。「積極的に社内外にアピールすることで、人材の採用とモチベーションの維持にもつなげています」(鴨志田氏)。今ではインシデント対応のすべてのプロセスを社内で実施できる。

 「私の場合、セキュリティエンジニアが幸せになれる組織をつくりたいという思いがCSIRTを推進する原動力になりました」。鴨志田氏はこう言って講演を終えた。

特別講演 ジェーシービー
CSIRTという組織作りから始めるとうまく進まない
まず目的を整理し、足りない機能から整備するべき

ジェーシービー
システム本部 システム企画部
次長
(システムリスク統括グループ担当)
齋藤 弘一 氏

 「CSIRTを構築する際は、まず、自社にどのようなCSIRTが必要かを見極めること。その上で、すでに存在する機能や体制は有効に活用し、不足しているものだけを構築するとよいでしょう」

 JCB-CSIRTを作り上げたジェーシービーの齋藤弘一氏は、CSIRT構築のポイントをこのように説明。また、組織作りを先行するのではなく、設置の目的を整理してから取りかかるべき、とも勧める。

 CSIRTの基本機能として同氏が挙げたのは、「全社コントロール機能」「情報収集・緊急通報・社内連携機能」「インシデント検知・インシデントハンドリング機能」の3つ。ただ、齋藤氏は「CSIRTの機能は各社各様でかまわない」と指摘する。このすべてをCSIRTが受け持ってもよいし、他の部署と連携・分担して実現してもよいのだ。

 実際のところ、JCB-CSIRTはシステムリスク管理部署を中心とし、リスク統括部署やセキュリティリスク管理部署と連携する“横串”組織という位置付け。高度な技術については、外部セキュリティパートナーの支援を仰いでいるという。

特別講演 ジャパンネット銀行
いち早く立ち上げたJNB-CSIRTを中心に
外部と協力しつつ一層のレベルアップを目指す

ジャパンネット銀行
IT統括部
サイバーセキュリティ対策室
室長代理
小澤 一仁 氏

 2000年にインターネット専業銀行として開業したジャパンネット銀行にとって、セキュリティ対策は生命線。2013年にセキュリティ・インシデント対応チームの「JNB-CSIRT」を立ち上げている。

 そのメンバーでもある小澤一仁氏は、「JNB-CSIRTはバーチャルな組織で、IT関連部門の10人で構成されています」と語る。

 JNB-CSIRTはインシデントへの対応はもちろん、平時においてもログ分析などによる監視、各種情報収集に当たる。社内啓蒙、インシデント管理規定の整備などにも取り組んでいるという。

 「セキュリティ分野における金融機関の共助組織である金融ISACなどとの連携を重視しています。セキュリティは非競争領域。他の金融機関をはじめ様々な企業と協力しながら、より安全な環境づくりを目指しています」と小澤氏は他組織との連携の重要性を説く。

 また、「ベンダー任せにせず、できるだけ自分たちでインシデントに対応するようにしている」という。セキュリティレベルは着実に高まっているようだ。

特別講演 伊藤忠商事
セキュリティ専門会社さながらのCERT/CSIRTを運営
会社の枠を超え不正アクセス被害の防止に取り組む

伊藤忠商事
IT企画部 技術統括室長
ITCCERT長
北野 隆 氏

 伊藤忠商事は2012年、グループ企業を含む情報セキュリティ強化の一環としてIT企画部内にバーチャル組織のITCCERTを新設し、2015年からその強化に力を入れ始めた。最大の特徴はユーザー企業の枠にとらわれないCERT/CSIRTを目指していることにある。

 セキュリティ専門家の採用はその1つ。マルウエアの活動観測に使う「シンクホール」を社内で運用する。グループ各社に被害が出ていないかどうか定点観測し、マルウエアの被害に遭っているとみられる伊藤忠グループ外の100以上の国内企業・団体にも連絡している。

 「CERTを社内に設置しても、外部の製品・サービスを買うだけでは単なるバイヤーです。そこから一歩踏み出し、自ら動き、社内だけでなく世界の情報セキュリティの状況を肌感覚でつかみ、時には専門機関や他社のCERTにも情報提供するプレーヤーでありたいと思います。プレーヤーが増え、情報交換が進めば、日本のセキュリティレベルは間違いなく上がるでしょう」。北野氏はこう提言して講演を終えた。

特別講演 ヤマハ発動機
WAF導入でWebセキュリティを大幅に強化
日本CSIRT協議会に加盟し防御力を鍛える

ヤマハ発動機
プロセス・IT部
デジタル戦略グループ 主務
原子 拓 氏

 ヤマハ発動機はグローバルで131のWebサイトを運営している。国や地域によって商材などが異なるため、企画・運用は各拠点に委ねられている。同社の原子拓氏は「OSやミドルウエア、CMSもバラバラという状態です」と説明する。セキュリティパッチについても、適切に適用されていないケースが目立ったという。

 そこで導入したのがWA F(Web Application Firewall)である。当初、原子氏はWAFに懐疑的だったが、試してみると大きな効果があったという。

 「SQLインジェクションなどの攻撃をほぼ遮断でき、Webサイト改ざんへの防御力は高まりました。また、DDoS攻撃に対しても有効です」

 Webサイト改ざんへの対応に忙殺されてきた原子氏は、WAF導入によって時間の余裕が生まれたという。そこで立ち上げたのがCSIRT。社内の数名でスモールスタートし、日本CSIRT協議会に加盟した。「加盟社の方々との議論は非常に有益です」という原子氏は、多くの人たちにCSIRTの構築と協議会に参加してほしいと呼びかける。

特別講演 大成建設
“消防団”のような仮想型組織としてT-SIRT設置
平時はアドバイスを、有事は技術的支援を提供する

大成建設
社長室 情報企画部
部長(担当)
Taisei-SIRTリーダー
北村 達也 氏

 「今、情報セキュリティのリスク構造は、『ミスをなくせば事故を防げる』から『不可避な損害をダメージコントロールで最小限にする』に変わっています」

 大成建設の北村達也氏は、企業内にCSIRTを置く必要がある理由をこのように説明する。サイバー攻撃に代表される情報セキュリティインシデントが避けられないのであれば、一刻も早く発見し、企業としての意思を決定し、緊急時対応体制を立ち上げられる準備をしておくのは当たり前。そのために事前に用意しておくのがCSIRTという組織だ。

 CSIRTの形態は「専門組織」「仮想的組織(兼務)」「個人運用」の3種類。大成建設のT-SIRTは“消防団”のような仮想型組織で、情報企画部と情報子会社から組織横断的に選び出した6人プラス2人(育成枠)の陣容だ。

 T-SIRTの平時の役割は、情報セキュリティ協議会を主宰し、部門を代表する委員と共に業務上のセキュリティ課題を解決すること。有事の際は、IT部門長の指示のもと、インシデント発生部署に対して技術的な支援を提供する。