国内外に子会社40社・連結従業員4万5972人(2016年9月30日時点)を抱えるSOMPOホールディングスは2015年1月1日、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「SOMPO ホールディングスCSIRT(SOMPO HD CSIRT)」を立ち上げた。チームはSOMPOホールディングスと損害保険ジャパン日本興亜の両方のIT企画部を兼任するメンバ-と、システム子会社のSOMPOシステムズのメンバーの合計8人で構成する仮想的な組織である。

 発足は急だった。2014年12月、SOMPOホールディングスIT企画部の中野孝一郎推進グループ課長代理ら4人が1カ月間で立ち上げたという。「正直に言えばセキュリティ対策チームのような前身となる組織は無かった。SOMPOシステムズはシステム基盤のエンジニアはいるものの、セキュリティ専門家はいなかった。(CSIRT立ち上げ支援の)コンサルタントを雇い、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)の『CSIRTスタータキット』などを参考に突貫で発足させた」。中野氏は当時をこう振り返る。

SOMPO HD CSIRTのメンバー。左から、SOMPOホールディングスIT企画部の中野孝一郎推進グループ課長代理、高田仁志システムリスク管理グループグループリーダー、山本岳企画グループ特命課長、SOMPOシステムズの佐々木徹郎サイバー対策室長
SOMPO HD CSIRTのメンバー。左から、SOMPOホールディングスIT企画部の中野孝一郎推進グループ課長代理、高田仁志システムリスク管理グループグループリーダー、山本岳企画グループ特命課長、SOMPOシステムズの佐々木徹郎サイバー対策室長
[画像のクリックで拡大表示]

経営層の強い危機意識で発足

 同社はPCにウイルス対策ソフトを導入し、ファイアウォールを使ってネットワークで防御するなど「従来型の対策」(中野氏)を敷いていた。標的型攻撃などが脅威を増してきた時期だが、特段、大きなインシデント(事故)があったわけではなかった。急ぎCSIRTを発足させたのは経営層の強い働きかけだったという。「『大手の競合やメガバンクの取り組みに比べて、当社は遅れている』と、経営層の危機意識が高かった」(IT企画部の高田仁志システムリスク管理グループグループリーダー)。

 SOMPO HD CSIRTの発足当時を振り返ると、金融庁が「金融機関に係る検査マニュアル」でCSIRTに言及し、金融情報システムセンター(FISC)も「金融機関等コンピュータ・システムの安全対策基準」でCSIRT設置に触れていた。2015年春には日本年金機構が標的型サイバー攻撃に遭い、101万人・125万件の年金情報が流出し、国会で取り上げられるなど社会問題となった。

 各種ガイドラインと社会情勢がサイバーセキュリティの高まりを求めていた時期であり、「経営層から『対策を急げ、いくらかかるんだ』と急かされた」(中野氏)。国内外の子会社40社を見ると、「従業員が数人にしかいない会社もあり、セキュリティレベルはまちまち」(高田氏)という状態だった。

 そこで技術的な対策をまず急いだ。2015年半ば、レベルを高める準備として、米連邦金融機関検査協議会(FFIEC)が策定した「FFIEC Cybersecurity Assessment Tool」で自社の対策状況をアセスメント。2017年3月までに10億円以上を投資し、各社の入り口対策・出口対策・内部対策を強化してきた。インターネットの入り口と出口を共通化し、SOMPO HD CSIRTや外部のSOC(セキュリティ・オペレーション・センター)で監視するなどの対策を施した。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。