サイボウズは2011年8月、クラウド基盤「cybozu.com」を防御するため、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の「サイボウズ株式会社CSIRT(Cy-SIRT)」を立ち上げた。セキュリティ室の伊藤彰嗣氏が中心となり、情報システム部門ではなく、cybozu.comを開発する開発本部内に設けた。

サイボウズ セキュリティ室の伊藤彰嗣氏
サイボウズ セキュリティ室の伊藤彰嗣氏
[画像のクリックで拡大表示]

 2013年8月には日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)に加盟。2014年6月には日本でいち早く、同社の製品やサービスの未知の脆弱性を発見・報告した外部協力者に報奨金を支払う「脆弱性報奨金制度」を手掛けるなど、セキュリティ維持に積極的に取り組んできた。

“2人CSIRT”でリスタート

 だが2016年、もともとのCy-SIRTを、製品を守るためのPSIRT(プロダクト・セキュリティ・インシデント・レスポンス・チーム)である「Cy-PSIRT」に名称を変更。社員600人の社内情報を守るCSIRTを社長直轄組織として独立させ、伊藤氏と上司の2人で再スタートすることとした。

 「2016年までの3年間で社内から400件の相談を受けるようになっていた。cybozu.comと社内情報を掛け持ちで守るには業務量が増えすぎた。分離したはいいがとにかく人が足らない」(伊藤氏)。事実、伊藤氏は社内外からの問い合わせ窓口であるPoC(ポイント・オブ・コンタクト)に加え、セキュリティマネジメントやリサーチャー、キュレーターといった複数の機能を兼任している。

 忙しいが抜けているものは無いのか――。伊藤氏は産業横断サイバーセキュリティ人材育成検討会の作ったCSIRTのセキュリティ機能マップと自社の現機能を比較した。すると、「教育機能、つまり人材育成が最も足りない」(同)ことが見えてきた。

 そこで、NCAが策定した「CSIRT 人材の定義と確保 Ver.1.0」の16種類のCSIRT人材像を参考にしながらスキルセットを整理し、業務をステップ・バイ・ステップで明確にして、フローチャートにまとめている。「ここまで手順を落とし込めば、セキュリティレベルが高くない派遣社員でもCSIRTに雇え、自分の時間が作れる」と伊藤氏は考えている。教育資料は2017年中の完成を急ぐ。

 自身の研鑽も欠かさない。人を教えるコツはセキュリティ対策推進協議会(SPREAD)で学び、リサーチ業務はNCAのWGで進めるほか、米SANSやサイバーディフェンス研究所のトレーニングにも積極的に出ているという。月に一度以上はセキュリティのイベントに出向き、結果を社内にフィードバックもしている。