日本シーサート協議会/JPCERTコーディネーションセンター 江田 佳領子

フリーライター 松山 正隼

 「行ってきます!」。BP商事のA君は、カバンを手にして勢いよくオフィスを後にした。

 A君は、同社のIT企画室に所属する入社3年目のエンジニアだ。昨年の春に、社内のインシデント対応体制の構築を担当することになった。その作業を進める最中にCSIRT(シーサート)の存在を知り、そこからは「BP-CERT(サート)」の構築に向けた取り組みを続けている。そのめどが立ち始めたことを受け、昨年の10月からは日本シーサート協議会(NCA)の協力を得て、国内で活動中の実在するCSIRTを訪問して、ヒアリング調査をしている。

 今回の訪問先は、ネットショッピングをはじめとするインターネット総合サービスを提供する楽天である。オンラインショッピングモール「楽天市場」などのオンラインサービスを提供するIT企業だ。

写真1●Rakuten-CERTに所属する福本 佳成さん
写真1●Rakuten-CERTに所属する福本 佳成さん
所属は楽天の開発部システムセキュリティグループ マネージャである。

 同社には、Rakuten-CERT(ラクテンサート)というCSIRTがある。今回インタビューを受けてくれたのは、開発部システムセキュリティグループのマネージャを務める福本 佳成(ふくもと よしなり)さん(写真1)。Rakuten-CERTのメンバーだ。

 福本さんは、インターネットセキュリティ専門の企業でのセキュリティ関連製品の研究開発を経て、2002年に楽天に入社した。楽天グループのインターネットサービスのセキュリティ担当として、セキュリティ対策を講じている。2007年にはRakuten-CERTを立ち上げ、現在はRakuten-CERTの「Representative(代表窓口担当)」を務めている。

A君:最初に、Rakuten-CERT設立の背景や経緯をお聞かせください。

福本さん:楽天は、その事業の形態からも明らかですが、たとえ1分たりともWebサービスが停止することは許されません。楽天を使ったビジネスで生活している人の数はざっと見積もっただけで数万人います。つまり、それだけの方の生活がかかっているわけです。ですので以前からセキュリティに対する意識は非常に高く、Rakuten-CERTの設立前から、今とほぼ同じ形でセキュリティ対応体制を整備していました。

A君:それを改めてRakuten-CERTというCSIRTの形態にしたのは、なぜでしょうか。

福本さん:数年前のことになりますが、自社単独での対応が難しいインシデントが今後増えていくだろうとの予想の下、外部との連携をどうすべきかを検討していたんです。自社だけで対応するのが難しいのは、例えばボットネットが増加してトラフィックを受けきれなくなり、アクセス元のプロバイダーへ対応協力依頼をしなければならないといったケースです。

 そのようななか、2007年4月のあるカンファレンスで催されたパネルディスカッションに、JPCERT(ジェイピーサート)/CCの方が登壇され、NCAのことを紹介されていました。それを聞いたことが、CSIRT構築の直接のきっかけになりました。「これだ!」と思い、すぐにNCAへの加盟を前提としたCSIRT構築計画を立ち上げました。

A君:計画に対して、社内での賛同はすぐに得られましたか。

福本さん:内容とメリット/デメリットを説明したところ、すぐにゴーサインが出ました。この計画は、既に運用されていたセキュリティ対応体制をNCAの加盟要件に合わせる、つまりCSIRTの枠組みに合わせて整理するだけで、特に大きな変更を必要とするものではありませんでした。費用も作業コストもかからないことが、スムーズにことが運んだ理由の一つですね。当社はインターネットサービス企業ですので、当然経営層もビジネス基盤のセキュリティに対する意識が高いこともあったと思います。

 自社対応が難しいインシデントへの対応を強化することが課題と考えていた楽天にとって、NCAへの加盟はメリットがあった。CSIRTを作ってNCAに加盟すれば、他社のCSIRTとの連携がしやすくなり、同社が認識していた課題の解決に近づくからである。

 楽天の場合は、既に整備されたセキュリティ対応体制があったため、それをCSIRTの枠組みに合わせるというやり方を採用した。これはA君が過去にインタビューしたCSIRTとは異なるアプローチだった。A君は「こういうCSIRT構築のやり方は、セキュリティ対応体制を整備済みの企業にも参考になるな」と感じた。

A君:その後は、具体的にどのように計画を進めたのですか。

福本さん:まず、JPCERT/CCにコンタクトを取りました。それから毎週JPCERT/CCの方と意見交換する場を設け、そこで「CSIRTとは何か」とか「CSIRTには何が必要か」などを理解しました。そのなかで改めて、自分たちのこれまでの活動やセキュリティ対応体制がそのままCSIRTだったことを再確認することができました。

A君:ではその後は早かったんですね。

福本さん:はい。特に新しく整備したり、設備を導入したりといったものはほとんどありませんでした。JPCERT/CCの方と話を始めてから数カ月で作業は終わり、2007年11月に正式にRakuten-CERTとして活動を開始しました。また当初の目的であったNCAへの加盟も2008年1月には完了し、NCA加盟と並行して進めていたFIRSTへの加盟も2008年11月に済ませることができました。