クラウド／IoT時代の脅威から企業を守れ！――セキュリティ専門部隊「CSIRT」を作る：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

サイバーセキュリティの主戦場は、もはやファイアウォールの導入やマルウェア対策ではない。CSIRTを構築するなど、企業が組織で立ち向かうための新たな防御モデルが求められている。

[山下竜大，ITmedia]

グループの総力で国内トップのCSIRTを実現

リクルートテクノロジーズ 執行役員 サイバーセキュリティエンジニアリング部 エグゼクティブマネジャー 鴨志田昭輝氏

　「もはや境界線では守れない クラウド／IoT時代に求められる新たな防御モデルと組織作り」をテーマに開催された「第41回 ITmedia エグゼクティブセミナー」の基調講演に、リクルートテクノロジーズ 執行役員 サイバーセキュリティエンジニアリング部 エグゼクティブマネジャーの鴨志田昭輝氏が登場。「みんなが幸せになるCSIRTを目指して――リクルートのCSIRTの事例から考える組織マネジメント」と題して講演した。

　リクルートグループは、世界中の生活者と産業界に「まだ、ここにない、出会い。」を提供することを目的とした企業である。現在、持ち株会社と複数の事業会社、および機能会社で構成されている。機能会社の1つであるリクルートテクノロジーズは、IT・ネットマーケティング領域の専門部隊であり、リクルートグループをITでけん引することを目的としている。取り組みの1つに、セキュリティ専門部隊の「Recruit-CSIRT」がある。

　Recruit-CSIRTのインシデントレスポンスグループ（IRG）は、国内でも名の知れたエンジニアが集結し、インシデントの全体像を明らかにし、徹底的に原因を追究して、根本対策を導き出す。セキュリティオペレーションセンター（SOC）は、怪しい通信・挙動を検知するモニタリングユニットと検知した内容を分析する高度分析ユニットでセキュリティ監視を実施。クオリティマネジメントグループ（QMG）は、リクルートレッドチーム、プラットフォームセキュリティチーム、アプリケーションセキュリティチームでそれぞれ違った観点から脆弱性検査を行っている。

　今回のテーマである、いかに組織をマネジメントするかに対して鴨志田氏は、「今までの経験を踏まえて、まずはどのような組織を作りたいかを決めた。1つはセキュリティスペシャリストが楽しく働ける場に、もう1つはガバナンスで押し付けるのではなくプロフェッショナルとして現場を支える存在になる、この2つをポイントにした。技術力の高いセキュリティスペシャリストを中心に採用、さらに育成することにより高度化を図った。楽しそうに働いている雰囲気から、新たなスペシャリストを呼び込むことにもつながった」と話す。

　次に組織マネジメントの方針3つを決めた。1つ目はメンバー同士で情報共有を徹底して、互いの「すごさ」を理解し尊敬し合うこと。2つ目は社内で貢献度や技術力の高さを評価してもらうこと。3つ目は積極的にメディアに寄稿、セミナーで講演するなど社外にアピールし、チームや個人のプレゼンスをあげ社会に貢献すること。これらの方針を掲げ実践してきたかいがあり2017年7月に、JPCERT/CCの活動に貢献した団体に贈られる感謝状を受けた。鴨志田氏は、「この賞はずっとほしかったもの。Recruit-CSIRTでは、マルウェアやログの解析、フォレンジック、脆弱性の発見など、ありとあらゆる取り組みを自分たちで行っているが、内部のスタッフは、それが当たり前になっていて、いかにレベルが高いことかを理解していない。これに危機感があったのが、受賞したかった理由」と話す。

　「これまでの実績から、国内トップのCSIRTを実現できたと思っている。今後は、2020年の東京オリンピック開催に向け、グローバルにも名の知れた組織を目指したい。また、優秀な人材を数多く中途採用するだけでなく、未経験者でも次世代のセキュリティエンジニアとして育成していきたい。引き続き社内での評価を高めるために、社外でのプレゼンスを向上させ、ユーザーからは感謝され、経営層からは信頼される組織を推進していきたい」（鴨志田氏）

セキュリティ対策は経営層関与の体制構築が重要

中部電力 情報システム部 総括・企画グループ 澤井志彦氏

　特別講演には、中部電力 情報システム部 総括・企画グループの澤井志彦氏、および中電シーティーアイ インフラユニット インフラ・セキュリティサービス部 セキュリティ基盤グループの永野憲次郎氏が登場。「経営層こそサイバーセキュリティ意識を！ 〜中部電力セキュリティ実務者の本音とは〜」をテーマに講演した。

　セキュリティ対策は、単にファイアウォールなどの設備を導入して終わりではなく、経営層の関与体制の確立やリスクアセスメントの評価をした上で、各種設備を導入することが必要。それでも100％の対策はできないので、セキュリティ事故への対応策を検討しておくことも必要になる。澤井氏は、「特に経営層が関与する体制の構築が重要」と話す。

　経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」でも、経営層関与の体制を確立することと明記されている。中部電力では、情報システム部門の統括役員のもと、全社セキュリティマネジメント体制を確立している。ポイントは、社内外の状況の一元的な把握と、関係部門を含めた会議体での意思疎通である。

　この体制でセキュリティ施策のためのリスクアセスメントを実施し、その結果を経営計画に反映するPDCAサイクルを構築している。さらに、リスクアセスメントに基づいた、サイバー攻撃テストを実施する。永野氏は、「疑似マルウェアを用いた侵入テストを本番環境で実施すると、机上評価では分からないさまざまなリスクが把握できる」と話す。

中電シーティーアイ インフラユニット インフラ・セキュリティサービス部 セキュリティ基盤グループ 永野憲次郎氏

　中部電力では、サイバー攻撃への対処のための体制として、SOC/CSIRTを整備し、セキュリティインシデント対応能力向上と経営層・関係者の認知度向上を目的とした各種訓練を実施している。SOCはセキュリティインシデントが発生したときに、24時間365日の初動対応を行う組織。CSIRTは、SOCが対処できない事象に対応するチームである。

　永野氏は、「セキュリティの対処は、スピードが重要。まずは現場で対処するが、事象が大きくなったときには経営層の意思決定が必要になる。また、SOC/CSIRTを機能させるために、日常からSOCとCSIRTが連携することが重要であり、重大事象への対処能力向上のためSOC含めた実務者によるインシデント対応訓練や経営層による意思決定訓練を実施している」と話す。

　講演のまとめとして澤井氏は、「セキュリティ担当者は日々サイバー攻撃対処に奔走している。サイバー攻撃対策は利益を生むわけではないが、経営層のねぎらいがあると現場のモチベーションが向上するので、ぜひ一声かけてほしい。また、日進月歩のセキュリティ事象に対応するには、社外連携が必要不可欠。地域と連携してセキュリティ対策に取り組むことが有効になる」と締めくくった。