ジェーシービー(JCB)がCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「JCB Computer Security Incident Response Team(JCB-CSIRT)」を設置したのは2014年5月のこと。同社のWebサイトの脆弱性対策・サイバー攻撃対策を専門的に対応するための仮想組織で、システムリスクを所管するシステム企画部と、情報セキュリティを所管するコンプライアンス部の数人が兼務で運営している。

「Heartbleed」をきっかけにCSIRT設置へ

 設置のきっかけは2014年4月に多くのWebシステムから情報漏洩を引き起こしかねない脆弱性の公表が相次ぎ、JCBの経営層が危機感を覚えたためだ。通信暗号化ソフト「OpenSSL」に「Heartbleed」(心臓出血)と呼ばれる脆弱性が見つかり、さらにオープンソースのWebアプリケーションフレームワーク「Apache Struts」の現バージョンやサポートの終わった前バージョンにも脆弱性が見つかった。

JCB-CSIRT構築をリードしたシステム本部システム企画部次長(システムリスク統括グループ担当)の齋藤 弘一氏
JCB-CSIRT構築をリードしたシステム本部システム企画部次長(システムリスク統括グループ担当)の齋藤 弘一氏
[画像のクリックで拡大表示]

 結果的にJCBでは上記の脆弱性によるトラブルが発生しなかったが課題は残った。個別のシステム単位では脆弱性を警戒・対処していたものの、「複数のWebシステムの対策状況を横串を通して確認・報告するような網羅的・組織的な警戒体制が必要だ」。システム本部システム企画部の齋藤 弘一次長(システムリスク統括グループ担当)らはこう考え、CSIRTを設置しつつ、早期警戒体制の確立を急いだ。

 齋藤氏らがまず着手したことはJCB-CSIRTの目的を整理すること。「誰がやっても最適な対応となるような判断基準や手順を整え、インシデント(事故)が起こる前にインシデントにつながりそうな予兆を素早く見つけて対応し、インシデント発生時は冷静・迅速に対処できること」と決めた。齋藤氏は「組織作りが目的ではない。何のためのCSIRTかをしっかり整理することが必要だ」と強調する。

 次はこの目的に沿うようにJCB-CSIRTで果たすべき機能を精査した。具体的には「経営層の理解を得ているか」など重要項目を七つ挙げた。ただ、もともとJCBは事業内容上、セキュリティに注力してきていた。そのため、7項目のうち、既にある程度実践できている機能はそのままとし、不足する機能を順次整備していく方針を立てた。

CSIRT発足時に確認したポイント
CSIRT発足時に確認したポイント
出所:ジェーシービーの資料を基に編集部が作成
[画像のクリックで拡大表示]

 具体的には、「(1)経営層の理解を得ているか」「(2)コンピュータのインシデントに限らず、全社で緊急事故対応の態勢があるか」「(3)管理すべきシステム資産やWebサイトなどの情報を保有しているか」「(4)個別システムや個別Webサイトのセキュリティを対策して運用しているか」については、既に取り組んでいると確認した。「この四つでは(1)が最も大切だが、経営層はもともとセキュリティの取り組みに十分理解があった」(齋藤氏)。