サイバー攻撃の急増により、情報漏洩やWebサイト改ざん、コンピュータウイルスなどのマルウエア(悪意のあるソフトウエア)感染といったセキュリティインシデント(事故)が後を絶たない。加えて、従業員が機密情報を盗むといった内部不正も相次ぎ発生している。

 大規模なインシデントが経営リスクとなった現状を鑑みた経済産業省は2015年12月、「サイバーセキュリティ経営ガイドライン」を公表。同ガイドラインは経営者がサイバーセキュリティに主体的に関わる必要性を国として初めて提示した(関連記事:経産省、経営者向けにサイバー攻撃対策の最低ラインを提示)。冒頭では経営者がCISO(最高情報セキュリティ責任者)に指示すべき10項目の1項目として「CSIRTの整備」を挙げている。

 CSIRTはコンピュータ・セキュリティ・インシデント・レスポンス・チームの略で「シーサート」と読む。インシデント対応の司令塔となる組織だ(関連記事:CSIRTとは)。

 現在、CSIRTを設置する企業が増えている。業種を超えたCSIRTの連携機関として2007年に発足した「日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)」には、2016年1~7月で60社が加わり、加盟数は173社となった。ベネッセコーポレーションの情報漏洩が判明した2014年の21社、日本年金機構の年金情報流出が起きた2015年の45社を大きく上回るペースだ。

 ただ、「CSIRTを設置しろ」と指示されても、多くの組織にとって初めてのことであり戸惑うだろう。ただでさえセキュリティ分野はこれまで組織が投資を怠ってきた分野であり、組織に人材と技術も不足している。

 さらに「CSIRTに決まった形は無く百社百様」と言われている。CSIRTは各組織が「どんなビジネスプロセスを優先するか」「何のデータを最重要と据えるか」など、各組織のビジネス形態と密接に関係するからだ。こうしたことから自分たちで考え、自分たちで作り上げていくしかないのだ。

 本特集ではCSIRT運営で先行する組織がどんな考えで設置し、どう工夫して運用しているかをつぶさに見ていく。

行列のできるCSIRT

 第1回はジャパンネット銀行を取り上げる。「ジャパンネット銀行 CSIRT(JNB-CSIRT)」は現在10人のメンバーで運営する仮想的な組織だ。10人のうち、システム開発・運用と兼務なのが6人。セキュリティ専任者はJNB-CSIRTのリーダーを務めるIT統括部付部長サイバーセキュリティ対策室担当の二宮 賢治氏と同室長の岩本 俊二氏、同室長代理の小澤 一仁氏ともう1人の4人である。

JNB-CSIRTのリーダーを務めるIT統括部付部長サイバーセキュリティ対策室担当の二宮 賢治氏(中央)、同室長の岩本 俊二氏(右)、同室長代理の小澤 一仁氏
JNB-CSIRTのリーダーを務めるIT統括部付部長サイバーセキュリティ対策室担当の二宮 賢治氏(中央)、同室長の岩本 俊二氏(右)、同室長代理の小澤 一仁氏
[画像のクリックで拡大表示]

 活動方針は大きく三つ。規定などを整備する「体制整備」と、不正送金やDDoS(分散型のサービス妨害)攻撃、情報漏洩などの対策、標的型メール対応の訓練、外部との情報共有を進める「未然防止活動」、マニュアルを整備したり警戒態勢を取ったりする「発生時の態勢」である。具体的な活動としては、インシデントへの対応や発生した事象の分析、平時からのログ分析、情報収集と外部との情報連携などだ。