DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方：続・企業CSIRTの最前線（2/3 ページ）

[國谷武史，ITmedia]

セキュリティの悩み事はCSIRTに

　セキュリティポリシーでその存在が明確になったDeNA CERTは、全社の情報セキュリティの窓口として、さまざまな課題に対応していく。「『このサービスは利用できる？』『機密情報はどこに保管すれば？』といったような、どんな相談事にも応じてきました」（渡辺さん）

　DeNA CERTは、社内からの相談へ地道な対応を重ねてきたことで、2014年は年間10件ほどだった相談が2015年には倍増し、いまでは月間50件近くも寄れられる同社にとって欠かせない存在になった。

　相談に対応するセキュリティ部の平田千幸さんは、「DeNA CERTに相談してよかったと感じてもらえるサポートを心掛けています。現在は新規のビジネスに関わる大きな相談も寄せてもらえるようになり、社内から頼られる存在を目指しています」と話す。

　相談内容はさまざまだが、例えば、「クラウドサービスを利用して外部企業との情報共有を効率化したい」といった相談では、相談者が検討中のツールやサービスについてセキュリティを検証した上で、安全な使い方を分かりやすくアドバイスする。事業部門はビジネスのスピードを重視しているため、彼らが魅力的だと感じるツールやサービスの利用を原則的に禁止するような対応では、結果的に密かに使われかねず、セキュリティリスクが高まるためだという。

　「相談相手を待たせて『DeNA CERTは遅い』と思われてしまえば、勝手に使われてしまう恐れがありますので、相談から基本3営業日以内に解決することを指標にしています。簡単な対応なら当日中に解決し、長期化が予想される場合は相談者とコミュニケーションをとりながら目標時点を調整しています」（平田さん）という。そのため、確認時のポイントをまとめたチェックシートを分かりやすく改訂したり、解説をより分かりやすくしたりするなど、常に改善を図っている。

　平時におけるDeNA CERTの活動は、社員への相談対応のほか、セキュリティの教育や啓発、インシデント対応の評価および改善施策、サービスの設計・開発におけるセキュリティ面での助言や脆弱性診断など、組織面から技術面まで非常に幅広い。

　特に脆弱性診断は、外部に委託せず同社のエンジニアが担当して、セキュリティ対策がサービスの開発スケジュールに影響を与えないよう実施しているという。最近ではサイバー攻撃などが疑われる異常の検知やログの調査なども推進し、インシデントへの備えを強化しているという。

　インシデントに対しては、内容に応じた危機レベルと、レベルに合わせたエスカレーションと対応フローが設定されており、それに基づいて処理される。原則としてインシデントが発生した部署が対応での実作業を主導する。ただし部署の担当者が不慣れな場合や部署内で担当者がなかなか決まらないなどのケースでは、調整役として参加し、担当者のアサインや作業内容の打ち合わせをうながすといったサポートを提供している。

　インシデントの報告はDeNA CERTに集約され、内容や対応状況などの情報をメンバー間で共有している。情報をインシデント発生部署だけにとどめないようにすることで、別の部署で同様のインシデントが発生しても、スムーズに解決へつなげられることが期待される。

DeNAはWebサイトの情報セキュリティに関するページでDeNA CERTの位置付けや活動内容などについて公表している