伊藤忠商事は、CSIRT(セキュリティ・インシデント・レスポンス・チーム)の「ITCCERT」全体で「誰がどこからなぜどうやって攻撃してくるのか」というセキュリティ企業が提供する有償情報である「サイバー・スレット・インテリジェンス(CTI)」の活用に取り組んでいる。
リードするのは外部登用したエース級のセキュリティ技術者だ。CSIRTリーダー自らがインテリジェンスの豊富さを見込んでスカウトした。
グループ100社のセキュリティをメルマガで底上げ
ITCCERTが発足したのは2012年。2011年9月に三菱重工業への標的型攻撃が判明したことを受けて、CIO(最高情報責任者)の検討を経て設置された。伊藤忠商事の各カンパニーを横断する全社インフラの情報化を担当するIT企画部が、JPCERTコーディネーションセンターが公開する「組織内CSIRT」の構築支援資料である「CSIRTマテリアル」を参考に立ち上げた。
ITCCERTは仮想的な組織で、2015年11月時点で子会社の伊藤忠テクノソリューションズ(CTC)から出向中のメンバー2人を含む7人(うち専任は3人)で運営している。設置の目的はグループ全体のセキュリティレベルの向上だ。マルウエア感染といったインシデント発生時はCIOやCIO補佐と連携しながら、攻撃されたシステムを主管するカンパニーのIT担当部署に連絡し、関係部署と協議しながらインシデント収束に向けて支援活動を展開する。
一方、平時は最新の脅威情報や製品情報を収集したり、インシデント(事故)対応力を強化するための訓練を実施したり、システムのサイバー攻撃対策を強化したりしている。「自分たちばかり情報を持っていても仕方ない。まずは草の根でグループに広げていこう」。ITCCERT長を務めるIT企画部技術統括室長の北野 隆氏らはこう考え、収集した情報を各カンパニーやグループ会社の担当者にメールマガジンとして発信することにした。
約700社のグループ会社のうち、希望した約100社に配信。メルマガには修正パッチの情報を提供して適用を促したり、セキュリティ知識を高めるクイズを掲載したり、無料で参加できるセキュリティ関連セミナーのお知らせを掲載したりしている。さらに月次でセキュリティの最新動向などをまとめた報告書も出している。
日々、SNSでの情報漏洩を監視するほか、グループから50人が集まり、クローズドなシステム環境で遠隔操作やDDoS攻撃といった攻撃者としての体験をさせる研修も開催してきた。システム面ではITCCERT設置に合わせて、社内ネットワークとインターネットとの境界に導入していたIPS(不正侵入防止システム)のログ分析を強化し、さらに24時間体制でセキュリティ状況を遠隔監視するSOC(セキュリティ・オペレーション・センター)を外部委託した。脆弱性診断も実施し、標的型対策のうちでも情報を漏らさないようにする「出口対策」を手厚くした。
だが2014年12月、なりすましメールに社員が感染し、取引先311社の約400人の個人情報(名前とメールアドレス)を流出させた(プレスリリース)。
