本特集では各社におけるインシデント(事故)対応の司令塔となる組織「CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム、シーサート)」の取り組みを紹介する。第1弾ではジャパンネット銀行、ANAシステムズ、東京電力ホールディングス、伊藤忠商事、大成建設、明治安田生命保険、JFEホールディングス、ジェーシービー(JCB)の各社のCSIRTを紹介した。

 第2弾となる今回、最初に登場するのはみずほフィナンシャルグループ(FG)だ。みずほFGがCSIRT「Mizuho Cyber Incident Response Team(Mizuho-CIRT)」を発足したのは2012年11月。発足と同時にCSIRTの集まりである日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)に加盟した。

 発足には1年を掛けた。2011年、標的型攻撃が本格化してきたことを受けて、みずほ銀行のシステム部門とネットバンキング部門で検討WG(ワーキンググループ)を作り、主要システムの対策状況をアセスメントして対策を追加しながら、サイバー攻撃に専門的に対処するCSIRT発足の準備を進めたという。

 Mizuho-CIRT発足後、インシデント対応手順やエスカレーション体制を整備。Web改ざん攻撃やDDoS(分散型のサービス妨害)攻撃の対応訓練などを重ねていった。

 2014年7月、Mizuho-CIRTが一段レベルアップした。みずほFGは同月、データ活用という攻めのITとセキュリティという守りのITの両方を企画運営するデータマネジメント部を発足し、そこにCSIRTを据えた。現在、約10社の主要子会社のCSIRTと連携しながら、国内外約150の子会社を含めたグループ全体のセキュリティガバナンスを整備し、インシデントの防止と対応に当たっている。

「橋渡し人材」の役割に注力

 「経営層や関係部署への説明責任を全方位に果たし、経営層を味方に付けて予算を取る」。Mizuho-CIRTの長であり、データマネジメント部の部長でもある高橋達浩氏は自らを「橋渡し人材」と話し、その役割をこう話す。

 橋渡し人材とは、政府が2015年9月に閣議決定したサイバーセキュリティ戦略によれば、「経営戦略と技術的な観点の両面から思考でき、経営層と実務者層との間の橋渡しをすることで、セキュリティへの適切な経営資源配分を促すことができる」人材のことだ。平たく言えば、セキュリティに詳しくない経営層とセキュリティ技術者がいる現場をつないで、適切な投資を確保しつつ、その企業に合った対策や訓練を指揮する役割を担う。

 Mizuho-CIRTで橋渡し人材として動くのは、高橋氏だけではない。長の役目を高橋氏と分け合う水田淳也次長、中長期的に人材育成や訓練を企画する門野健治参事役、インシデント対応リーダーである貞広憲一調査役なども橋渡し人材だ。

みずほフィナンシャルグループのMizuho-CIRTのメンバー。左から、データマネジメント部サイバーセキュリ ティチームの門野健治参事役、水田淳也次長、高橋達浩部長、貞広憲一調査役
みずほフィナンシャルグループのMizuho-CIRTのメンバー。左から、データマネジメント部サイバーセキュリ ティチームの門野健治参事役、水田淳也次長、高橋達浩部長、貞広憲一調査役
[画像のクリックで拡大表示]

 複数を置くのは、説明責任を果たすべきステークホルダーが多いから。「役員だけでも10人以上いる」(貞広氏)。そのほかにも経営企画や法務、広報、大企業向け営業、金融法人向け営業、リテール向け営業、海外営業などがいて、その先の監督官庁や警察、個人や法人の顧客への説明も必要だ。