情報通信技術の発達によって人々の暮らしがますます豊かになる一方で、情報漏えいインシデントに関する脅威は年々増大しています。そうしたなか、注目を集めているのが「CSIRT(シーサート)」です。
本記事ではCSIRTの概要について解説するとともに、実際に導入して成果を挙げた企業の事例を紹介します。
CSIRTとは何なのか
「CSIRT(シーサート)」とは「Computer Security Incident Response Team」の頭文字で、情報セキュリティインシデントに対応するための専門チームを意味しています。情報セキュリティインシデントに対し、恒常的に対応するチームを指す場合と、問題発生時にのみ結成されるチームを示すこととがあります。
近年、情報通信技術の発達に伴い、社会環境は劇的な変化を遂げました。IT化の恩恵が多様な産業を発展させ、人々の暮らしに豊かさをもたらしたのです。しかし、多くの事象にはコインの表と裏のような二面性を持ちます。情報通信技術の発達は同時にサイバーテロという脅威を生み出しました。
企業にとって顧客および市場からの社会的信用の獲得・維持は極めて重要です。情報漏えいは企業が積み上げてきた社会的信用の失墜を招きます。
例えば2011年に世界トップレベルの電機メーカーがシステムの脆弱性を突かれ、ハッカー集団のサイバーテロによって数千万件以上の顧客情報が漏えいする事件がありました。また2014年には国内大手の教育関連企業が、同様に数千万件の顧客情報を流出させてしまう事件が発生しています。事件の原因はシステム運用を委託していたグループ企業の派遣社員による意図的な情報流出でした。
参考:ソニー、ハッカーとの暗闘 脆弱だった「プレステネット」
参考:ベネッセお客様本部 事故の概要
このような情報セキュリティインシデントに対し、迅速かつ的確な対応を実施するために設置されるのがCSIRTです。情報セキュリティインシデントの発生時の窓口として機能し、さらに状況を的確に分析し、適切なレスポンスを提供するチームと言えます。
年々、巧妙化しているネットワーク上の脅威に対し、既存のセキュリティシステムでの完璧な対応は困難です。そのため、情報セキュリティインシデントの発生を想定し、発生後にいかに適切な対応を実行するかが求められています。情報漏えいの発生防止はもちろん、万が一の事態に対する万全の体制を構築し、対応することがCSIRTの役割です。
CSIRTを設置するには
企業内にCSIRTを設置するには、どのような構想と運用が求められるのでしょうか。実はCSIRTに明確な定義や規格はありません。ベストプラクティスが存在しない以上、100社あれば100通りのCSIRTが存在すると言えます。
欧米諸国は情報セキュリティ管理の重要性にいち早く気づき、企業内にCSIRTを設置することが一般化しつつあります。しかし、日本は諸外国と比較して情報セキュリティインシデントに対する意識が低く、対策も十分とは言えません。代表的な実装方法として経営層直轄のCSIRTを設置する方法がありますが、日本の企業風土には向かない傾向にあります。
CSIRTの構想と運用において非常に参考になるのが「一般社団法人JPCERT/CC」が発行している「CSIRTマテリアル」です。JPCERT/CCはコンピュータセキュリティに関連する情報発信を行う一般社団法人であり、CSIRTに関する資料をWeb上に公開しています。CSIRTの「構想・構築・運用」という3フェーズについて丁寧に解説しており、教科書的に使用されることの多い資料です。自社にCSIRTの設置を検討している企業であれば、大きなヒントを得られるでしょう。
参照元:CSIRTマテリアル│一般社団法人JPCERT/CC
CSIRTを設置した企業や組織
情報通信技術の発展とともにビジネスを取り巻く環境は日々変化しています。企業経営において情報セキュリティインシデントへの対策は重要な経営課題です。ここでは、実際にCSIRTを設置し、自社が抱える経営課題を解決した企業の事例をわかりやすく解説します。CSIRTを設置することで、どういった成果を創出したのか見ていきましょう。
楽天
「楽天株式会社」はインターネットショッピングモール「楽天市場」や総合旅行サイト「楽天トラベル」などを中心に事業を展開する企業です。Webサービスの提供が中核事業である楽天にとって、情報セキュリティインシデントへの対策は最重要課題の1つです。楽天には以前からセキュリティ対応組織は存在していました。しかし、自社単独での対応が困難なインシデントが今後増えていくという予想の元、外部との連携を強化。2007年にその組織をCSIRTと明確に定義し、「Rakuten-CERT」として再整理しました。
Rakuten-CERTは、楽天グループの開発部におけるシステムセキュリティグループという位置づけです。品質保証や業務プロセス改善を担当するチームと同じ部門に置き、それらのチームと横断的な連携をすることで、安全なソフトウエア開発環境を構築しました。ソフトウエアを自社開発することで脆弱性の根本原因を解決し、セキュリティ品質の向上だけではなく、生産性向上および資産価値向上を目指しています。
また、自社単独での対応には限界が訪れるという予測の元、「日本シーサート協議会」と「FIRST」に加盟するなど、外部との情報交換を積極的に行うことで継続的なセキュリティ強化に尽力しています。
参照元:第11回 楽天の「Rakuten-CERT」――既存の体制を生かしながら構築,外部関連組織との連携を強化
千葉大学
千葉大学は2016年に「C-csirt(千葉大学情報危機対策チーム/Chiba University Cyber Security Incident Response Team)」を設立しました。もともと千葉大学には2009年に設立された「情報危機対策チーム」という組織が存在していました。しかし、2012年から2014年にかけて情報セキュリティインシデントが多発。個人情報が保存されたPCやUSBメモリの紛失や、部外秘情報の格納されたHDDを学外で利用して閲覧可能にしてしまうなど、管理体制の不備が露呈してしまったのです。
こうした事態を重く受け止めた千葉大学はC-csirtを設立し、再出発を図りました。学内のログを監視したり、通信内容や脆弱性対策状況などを定期的に調べたりといったセキュリティ管理を徹底しています。
参照元:[千葉大学]重大インシデント教訓に抜本改革、大学初の挑戦次々と
明治安田生命
日本の大手生命保険会社・明治安田生命は2015年に「MY-SIRT(MEIJIYASUDA Computer Security Incident Response Team)」を設立し、本格的な運用を始めました。「MY-SIRT」の最大の特徴は、セキュリティに関する専門家が不在のなか、自社の経営体制に適合するCISRTを手探りでつくり上げたという点です。
先述した一般社団法人JPCERT/CCのCSIRTマテリアルや、日本シーサート協議会がWeb上に公開している資料を手本とし、自社にとって必要な機能を考え、仮想的な組織として設置しました。「CSIRTの構成員は必ずしもITに精通している必要はない」ということを立証した好例と言えます。
参照元:[明治安田生命]専任者無し、手さぐりでCSIRTを発足
伊藤忠商事
みずほグループの大手総合商社・伊藤忠商事は「ITCCERT」を立ち上げ、サイバーセキュリティに対応する体制を構築しています。ITCCERTは先述した明治安田生命のMY-SIRTとは大きく異なる点があります。それはエース級のセキュリティ技術者を外部登用することで構築された組織であるということです。2011年に三菱重工業へのサイバー攻撃が判明したことに端を発し、翌年の2012年に設置されました。
ITCCERTは、伊藤忠商事の全社インフラの情報化を担当するIT企画部が、一般社団法人JPCERT/CCのCSIRTマテリアルを参考にして立ち上げました。楽天グループのRakuten-CERTのような一部門としてではなく、仮想的な組織として運営されているのが特徴です。平時は最新のサイバー情報の収集、対応力強化を目的として訓練の実施、システムのセキュリティ強化などに取り組んでいます。
参照元:[伊藤忠商事]外部から即戦力を引っ張り、全員をセキュリティのエキスパートに
まとめ
企業経営において社会的信用を獲得し続けることは極めて重要です。経営学者のピーター・F・ドラッカーは著書『現代の経営』のなかで「事業の目的は顧客を創造することである」と述べています。企業の存在意義は利潤の追求のみではありません。「価値ある製品やサービスを提供し、顧客を創造し得る経営により社会へ貢献すること」が、企業の存在意義と言えるでしょう。このような意味で、顧客および市場からの信用獲得は、企業経営における最重要課題なのです。
情報セキュリティインシデントは企業が培ってきた信用の失墜を招く、絶対に避けるべき事態です。情報通信技術の発展によってさまざまな恩恵を享受する一方で、システムの脆弱性を突いた不正アクセスや、マルウェア感染といったサイバーテロの脅威は年々増大しています。
CSIRTの設置は情報セキュリティインシデントの脅威から企業を守るだけでなく、信用の確立につながります。ぜひ本記事を参考にして自社の経営戦略に活用してみてはどうでしょうか。