怪しい動きは自社でも調査 大成建設に聞くセキュリティの取り組み：T-SIRT作りました（1/2 ページ）

昨今のセキュリティ対策ではサイバー攻撃などのインシデント（事故や事件）へ迅速な対応をできることが強く求められている。大成建設はそのためのチーム「T-SIRT」を2013年に結成した。T-SIRT誕生の経緯や日々の活動とはどのようなものか――。

[國谷武史，ITmedia]

　総合建設大手の大成建設は、2013年1月に情報セキュリティインシデントの予防や対応などにあたる「Taisei-SIRT（T-SIRT）」を組織した。T-SIRT誕生の経緯や日々の活動について情報企画部 担当部長 Taisei-SIRTリーダーの北村達也氏に聞いた。

セキュリティリスクは人命にも関わる

　大成建設は国内外で日々数多くの建設プロジェクトを手掛ける。現場には様々なリスクが存在し、不慮の事故や災害によって人命が失われる事態も起こり得る。リスク管理は同社にとって非常に重要な取り組みであり、情報セキュリティもその中に含まれているという。

大成建設 情報企画部 担当部長 Taisei-SIRTリーダーの北村達也氏

　「建設現場は情報によって動いているため、その管理は必須。ある意味で建設は情報産業の1つともいえる」（北村氏）

　T-SIRTは、社長室直下の情報企画部と同社グループの大成情報システムにおいて、ITインフラや業務システムの運用に携わるチームリーダーや品質管理担当者など6人から構成される仮想的な組織。これに若手育成を目的として2人が加わる。全社的なリスク管理との関係では「最高リスク管理責任者（CRO）」およびCRO事務局などと連携する。

　平時には社内の電子情報管理に関わる部門横断チームである「情報セキュリティ協議会」や社外のセキュリティ機関と連携し、セキュリティ情報などの収集や管理ルールの改善、技術的な対策の展開、教育・啓発などの活動にあたっている。有事の際はインシデントが発生した部門やCRO事務局と連携して、事態の調査や早期の収拾、再発防止などを行う。

　こうした体制としているのは、インシデントを迅速に発見して会社としての判断をできるようにするためだという。そもそも電子情報に関わるインシデントは、短時間に大量に情報が影響を受け、急速に拡大していく。初動体制を一刻も早く立ち上げることが求められるからだ。ビジネスに与える影響をITの現場だけで判断することは難しく、経営部門と連携して会社としてのリスクを判断する必要がある。

　北村氏は、「最強の情報セキュリティインフラとは『ルールと体制』だ」と語る。ルールとは社内規定やガイドライン、マニュアルであり、体制は組織や運用体制を意味する。

　大成建設では2007年に社内規定やガイドラインを、4つの階層からなる体系に整備した。第1階層の「基本規則」では重大インシデントの定義と発生時の通報や体制を規定する。第2階層の「取扱規則」では情報媒体の特性や種類に基づく取り扱いを規定した。第3階層の「情報特有の規定」では電子情報に関する規定を設け、この中で組織内CSIRTの設置や平時／有事の対応などについて定めた。第4階層は日々のセキュリティ対策に関わるガイドラインなど26文書が規定されている。

大成建設の情報管理規程体系（同社サイトより）

「有事を前提」に

　北村氏によれば、そもそもセキュリティインシデントへの対応は、日々の運用の中で行われてきた。セキュリティ問題があれば北村氏が対応にあたることも多く、例えばPCの盗難や紛失などでは総務部門に連絡がいくといった仕組みが機能していた。ただ明文化されてはおらず、近年の情報セキュリティリスクの高まりに対しては活動しにくいといった課題があったという。

　国内では2011年頃から標的型サイバー攻撃が多発し、2012年からはインシデント発生を前提にセキュリティ対策を講じることの必要性が政府機関や情報セキュリティ業界などから叫ばれるようになった。「様々な会合やセミナーの場でCSIRT設置が提唱され、社内でも設置すべきだとの機運が高まっていった」

　そこで、2012年6月に情報企画部の起案でT-SIRTの設置が打ち出された。北村氏は、他社のCSIRTやJPCERT コーディネーションセンターなどにヒアリングをするなど、T-SIRTの体制づくりを担当している。インシデントに関する活動を推進するためには、上述の規定を変更する必要があったため、取締役会の決議を経て第3階層の「情報特有の規定」にT-SIRTを明文化した。

　インシデントの対応は発生現場の部門などで判断せず、CRO事務局に連絡して対応することを規定し、その仕組みを徹底するようにした。なお、「セキュリティは運用」という考えから、第4階層の26文書についてはT-SIRTに関する変更は加えていない。T-SIRTのメンバーに運用の責任者がいることで、ITの現場にも情報連絡などが行き届くようになっている。