巧妙な攻撃によるサイト停止、人為的ミスによる個人情報漏洩…。企業がトラブルに遭遇した際のダメージは大きさを増すばかりだ。事業継続の観点からは、脅威に立ち向かう「社内専門組織」を整備するとともに、社外の“同志”と密接に連携することが不可欠になってきた。先進事例を基に、本当に機能するセキュリティ専門組織の作り方を探る。

(菊池 隆裕)

危険はますます見えにくく
先行企業に見る専門組織構築のツボ

【無料】サンプル版を差し上げます本記事は日経コンピュータ11月26日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集1」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバーをご利用ください。

 ほとんどの企業において、情報システムへの依存度は増す一方である。効率化や新サービスの創造などをもたらす半面、危険も隣り合わせだ。インターネットを経由した不正アクセス、実装ミスによる情報システムの不具合、パソコンの紛失や盗難などによる顧客情報の漏洩、「Winny」経由の機密情報流出――。ほとんどのコンピュータがネットワーク化されている現在、トラブルにひとたび見舞われると、その被害は広範かつ甚大なものとなる。

 ネット上で商品比較サービスなどを提供するカカクコムも、こうした苦い経験を持つ1社である。同社は、2005年5月に外部からの不正アクセスを受け、2週間にわたるサイト閉鎖に追い込まれてしまった。事件から2年半。同じ失敗を繰り返すまいとさまざまな手を尽くしてきた同社が、最優先で取り組むべき方策として挙げるのが「組織体制の整備」だ。専門組織の基盤を固めた07年以降は、新サービスを続々提供するなど再び攻めに転じている。

 このところ、カカクコムだけでなく、セキュリティ関連の情報共有や社員教育の徹底、あるいは万が一の事故後の対応に備えて社内専門組織の構築に動く企業が増えている。その背景には、「企業の事業継続を脅かす事案が、以前に増して多様化していること」と「攻撃者の技術が専門化、組織化していること」がある()。

図●多くの企業が「セキュリティ組織」の強化を急ぐ理由
図●多くの企業が「セキュリティ組織」の強化を急ぐ理由
インシデント(事件・事故)の多様化や攻撃者の組織化を背景に、組織内および組織間の対応組織が必要になっている[画像のクリックで拡大表示]

 事業継続を脅かすインシデントとしては、例えば、外部からの不正アクセスや個人情報の漏洩などがある。こうしたトラブルの被害額は甚大だ。奈良先端科学技術大学院大学情報科学センターの山口英教授は「個人情報の漏洩による1件当たりの平均賠償額は4億円を超える。これは、07年5月に起きたANA(全日本空輸)の予約システムのトラブルに匹敵するほどの規模だ」と指摘する。

 システム関連のインシデントだけでなく、自然災害やテロなどさまざまな脅威に備えて予防策を練ると共に、万が一インシデントが発生した場合には、被害を最小限に抑える方策を用意する取り組みが求められる。

 情報セキュリティ大学院大学 情報セキュリティ研究科長の田中英彦教授は「例えば、首都圏で07年10月に発生した改札機トラブルでは、プログラムの不具合部分を修正する取り組みだけでは不十分ではないか。一部の改札機が止まってしまったという前提で、損害額を最小にするにはどうすればいいかという視点でも事故をとらえる必要がある」という。

 つまり、情報システムの専門家だけでなく、施設・設備の管理部門や法務部門の担当者などを巻き込んだ社内横断的な組織が必要なのである。

組織には組織で対抗

 各種インシデントのうち、情報システムに対する外部からの脅威について言えば、技術の高度化や多様化、複雑化が著しい。

 さらに、「攻撃者同士のコミュニティが存在し、しかも情報共有に長けている」(JPCERT/CC経営企画室の伊藤友里恵氏)という事情もある。攻撃を仕掛ける実行犯、攻撃ツールの開発者、個人情報の仲介業者など役割分担が進んでいるのである。

 こうした状況下で企業のセキュリティ担当者からは、「1社だけの対策では、外部からの攻撃を防ぎきれない」(楽天 開発・編成統括本部 CPO室 システムインテグレーション部門 システムセキュリティ部の福本佳成部長)という指摘が聞かれる。こうした状況を打開する第一歩が、事業継続を強く意識したセキュリティ対策体制の見直しであり、多くの専門組織が参加するコミュニティの形成というわけだ。

 1998年、国内ではいち早くセキュリティ専門組織「HIRT(Hitachi Incident Response Team)」を構築した日立製作所の情報通信グループ HIRTの寺田真敏チーフコーディネーションデザイナ/チーフテクノロジデザイナは、セキュリティ専門組織の存在価値は「次に何が問題になるのか、掘り起こしをすること」だという。

 そのためには、社内外に人脈を築き、幅広く情報収集することが欠かせない。万が一の事故発生時には、関連する社員や部署に対して素早く的確な指示を出すことも求められる。

続きは日経コンピュータ11月26日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。