国内で活動する先進企業のシーサート事例：インシデントと戦うCSIRT（3/3 ページ）

[ITmedia]

権限を分離するOKI-CSIRT

　「OKI-CSIRT」（OKI Computer Security Incident Response Team）は、沖電気（OKI）と沖電気ネットワークインテグレーション（OKINET）による、OKIグループのシーサートである。OKI-CSIRTは、2007年に発生したUSBメモリを介して広まるウイルスへの感染をきっかけに、OKI情報企画部とOKINETの「セキュリティセンタ」の双方のメンバー（の一部）から構成される「仮想的なチーム」として2008年に設置された。

　OKI-CSIRTは、OKIグループ内で発生したインシデントに対して直接対応を行う「組織内シーサート」としての側面だけでなく、OKIグループ向けの「分析センター」としての側面も有し、グループ内で発生したインシデントの原因分析やウイルスの動作解析などを行うこともある。

　OKI-CSIRTで特徴的な点は、「権限」を一切持たないという点である。それは、設立のきっかけが実際に発生したインシデントであったために、そこに権限を持たせると内部統制のイメージを社員に持たれてしまい、社員が積極的に情報を提供しなくなることを懸念したからである。そこで、まずグループ内での認知度を上げ、社員から「嫌われることなく」情報を提供してもらえるようにしたいと考えたのである。

　その一方で、インシデント対応の現場では、OKI-CSIRTの一部を構成している情報企画部が持つ権限を用いている。

　OKIグループには、情報セキュリティに関するさまざまな事項について承認を与える組織として、CIOを委員長とする「情報セキュリティ委員会」が存在するが、実質的にはその事務局を担当している情報企画部に権限がある。つまり、OKI-CSIRは技術的な面のみを担い、発生したインシデントに対して、経営層を含めた権限のある者が意思決定するために必要な情報を収集、分析、整理する。一方、情報企画部はOKI-CSIRTから得た技術情報を元にあらかじめ決められたクライテリアに従い、意思決定を行う。または経営層の指示を仰ぎ、グループ内の該当部署に対応を指示する。

　このような「技術部隊」であるOKI-CSIRTと「権限を行使」する情報企画部を分離しつつも、相互の連携を速やかに行うための実装として、情報企画部の一部がOKI-CSIRTのメンバーを兼務しているのである。

顧客も支えるNECネクサのシーサート

　「NEC Nexsolutions Security Technical Center」は、NECネクサソリューションズのシーサートである。

　従来、NECネクサソリューションズでは、顧客で発生したインシデントについては各事業部で組織的に対応していた。一方で、市場におけるセキュリティ問題の高度化が急速に進行し、一部門単位では対処しきれないような想定外の状況が発生した場合に備えた「組織横断的なインシデント対応チームが必要」との経営層の判断の下、2006年に全社的インシデント対応体制が再構築され、セキュリティテクニカルセンター（STC）が設置された。

　STCの前身となるグループは、Webアプリケーションのソースコード検査などのシステム監査やWebセキュリティ製品の開発などを行っており、顧客で発生したインシデントに対応することも多かった。STCは、このグループが名前を変え、全社的なインシデント対応体制の技術的中核として位置付けられた部署という経緯を持つ。

　全社的インシデント対応体制としては、経営層の直下に、総務部の管轄にある「リスク管理グループ」があり、STCがこれと連携する形で技術的な対応が必要なインシデントへの対応を支援するという体制を取っている。また、いわゆる「組織内シーサート」としてインシデント発生の現場で実際に対応を行うほか、インシデントの発生原因などを調査・分析する「分析センター」としての役割も担当する。

　さらに最も特徴的な点は、「インシデントレスポンスプロバイダ」（セキュリティベンダー）として、前身の時代から行っているセキュリティ製品の開発を続けるとともに、顧客のシーサート機能の一部を有償で請け負っていることにある。

　一般的に、「組織内シーサート」は社内向けサービスであるため、設置にあたって費用対効果の面で経営層の理解を得るのが難しい場合が多い。しかし、同社のSTCは社内に向けては組織内シーサートであるが、社外に向けてはセキュリティベンダーとしてビジネスで収益を上げる。つまり「自前で稼いでいる組織内シーサート」なのである。

過去のセキュリティニュース一覧はこちら