明治安田生命保険は2015年4月にCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「MEIJIYASUDA Computer Security Incident Response Team(MY-SIRT)」の本格運用を始めた。セキュリティ専任者がおらず、手本となる他社事例も見当たらない中、自社に合ったCISRTを手さぐりで作り上げた。

明治安田生命保険の「MY-SIRT」の主要メンバー。左から情報システム部ネットワーク基盤グループ主任スタッフの平田 泰之氏、MY-SIRT長を務めるリスク管理統括部システムリスク管理担当主席スタッフの高橋 尋史氏、情報システム部ネットワーク基盤グループ主任スタッフの阿部 祐也氏、同坂井 武氏
明治安田生命保険の「MY-SIRT」の主要メンバー。左から情報システム部ネットワーク基盤グループ主任スタッフの平田 泰之氏、MY-SIRT長を務めるリスク管理統括部システムリスク管理担当主席スタッフの高橋 尋史氏、情報システム部ネットワーク基盤グループ主任スタッフの阿部 祐也氏、同坂井 武氏
[画像のクリックで拡大表示]

「何しているのか分からない」からのスタート

 「CSIRTって普段、どんな仕事をしているのかイメージが沸かなかった」。MY-SIRT長を務めるリスク管理統括部システムリスク管理担当主席スタッフの高橋 尋史氏は、2014年にMY-SIRTの立ち上げを指示された時の思いをこう振り返る。

 CSIRTの設置はシステムリスク管理の担当部長が決めた。サイバー攻撃のリスクが高まる中、金融情報システムセンター(FISC)が2014年2月に公開した「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」でCSIRTの設置を求めたり、金融庁が2014年7月に公開した「金融モニタリングレポート」でメガバンクのサイバー攻撃対策が記載されていたりしたことを受けての決定だという。

 イメージが沸かなかった理由の一つは、サイバーセキュリティの専門家が1人もいなかったこと。各種システムのセキュリティは、開発・運用の技術者が業務の一部として実施してきた。高橋氏はまず、JPCERTコーディネーションセンターが公開する「CSIRTマテリアル」や日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)が公開する「CSIRTスタータキット」といった「組織内CSIRT」を構築するための資料を教科書として読み込んだ。

 「全部を教科書通りにはできない」(高橋氏)と感じたものの、自社なりのCSIRTに必要な機能を考え、仮想的な組織として設置する青写真を描いた。そのアイデアを上司や情報システム部ネットワーク基盤グループのリーダーなどに話し、フィードバックを得て形にしていった。立ち上げ作業の当初は「他社の(CSIRTメンバーから)生の声を聴く機会は無かった」(同)。雑誌の事例を見たり、セミナーで大成建設など先行企業の話を聞いた程度という。

 立ち上げ作業後半はNCAに加盟するためにNCAのワーキンググループに参加する中で、他社の声を聴く機会を得た。それでも「これから作ろうとする会社がほとんどで『試行錯誤ですね』と話したりしており、なかなか手本になる会社が無い。NCAのコーディネーターからもアドバイスをもらえたが、実際に会社で活動している人ばかりというわけでなかった」と話す。