“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT：ITmedia エンタープライズ セキュリティセミナーレポート（4/4 ページ）

[タンクフル，ITmedia]

CSIRT運用の高度化と可視化の重要性

NANAROQ ソリューション開発部の嶋崎絵美子氏

　高取氏に続いて登壇したのは、NANAROQ ソリューション開発部の嶋崎絵美子氏。同社は、企業経営におけるリスク管理ソリューションなどのGRCをはじめ、CSIRT・教育、検知やフォレンジック、EDRやDLPなどのセキュリティソリューション事業を展開している。

　現在、多くの企業でCSIRTの立ち上げや組織化が進んでいる中、CSIRTの活動内容の可視化と高度化、リスク最小化のための弁護士との協業推進の重要性が高まっている。

　嶋崎氏は、そうした状況に触れながら、各企業におけるCSIRTの運用の高度化を実現するクラウドサービスとして、同社が2017年7月にリリースした「CSIRT MT」を紹介した。

　CSIRT MTは、CSIRTやSOCの運用に最適化したクラウドアプリケーションで、セールスフォース・ドットコムが提供する「Salesforce App Cloud」上で動作する。インシデント対応管理機能、脆弱性対応管理機能、レポート・ダッシュボード機能などを備え、「クリティカルなCSIRT運用を自動化し、『見える化』できるのが特徴」（嶋崎氏）という。

ユースケースとして、グローバル企業で各リージョンにCSIRTがあり、それを日本のCSIRTが統括するケースなどが紹介された

情報セキュリティの“体幹を鍛える”CompTIA認定資格

CompTIA日本支局 シニアコンサルタント　板見谷剛史氏

　続くセキュリティ人材の育成に関する講演は、CompTIA日本支局 シニアコンサルタントの板見谷剛史氏によるCompTIA（コンプティア/コンピュータ技術産業協会）の概要紹介から始まった。

　CompTIAは、グローバルで活動するITの業界団体で、ベンダーニュートラルな教育やビジネスの標準化をはじめ「Certification」事業として「ベンダーニュートラルの認定資格を通して、世界中のプロフェッショナルのスキルアップ、キャリアアップ実現のために活動している」（板見谷氏）という。

　板見谷氏は、CompTIAの認定資格をランニングのトレーニングに例え、「いわば“体幹を鍛える”もの」と説明。それに対し、ベンダー資格は最先端のスキルなどを身に付けることから、「最新のシューズやウェアを手に入れるようなもの」と表現した。

　続けて、CompTIAの資格をサッカーに例え、「情報セキュリティ業務基準の『CompTIA Security +』は『スタメン11人が共通持つべきスキル』、セキュリティアナリスト業務基準の『CompTIA CSA +』はボランチが持つべきスキルといえる」と紹介した。

グローバルに情報セキュリティ対策を展開するためにASICS-CSIRTを立ち上げ――アシックス　谷本重和氏

アシックス グローバルIT統括部 グローバル基盤チーム セキュリティリード 谷本重和氏

　板見谷氏に続いて登壇した、アシックス グローバルIT統括部 グローバル基盤チーム セキュリティリードの谷本重和氏は、同社における情報セキュリティへの取り組みの経緯を紹介した。

　同社では、将来的に発生する可能性あるインシデントへの対応とリスク管理のために、2015年に情報セキュリティ委員会と情報セキュリティ管理事務局を設置。しかし、2つの組織だけでは、国内外の地域をカバーし迅速にインシデントに対応するのが難しかったことから、2016年10月にグローバルIT統括部内にASICS-CSIRTを立ち上げた。

　谷本氏自身も、CSIRT立ち上げなど、社内での情報セキュリティ体制の整備にあたって「CompTIA CSA +」などの資格を取得。キャリアパスを踏まえ、CSIRT業務に携わる社内の人材育成にも注力しているという。

　谷本氏は、同社の情報セキュリティのロードマップとして、2017年はセキュリティポリシーの見直し、グローバルセキュリティガバナンスの構築、セキュリティソリューションの評価、導入などに取り組んだことを説明。

　そして、2018年には「セキュリティポリシーの強化、セキュリティソリューションのグロ―バル展開、情報セキュリティマネジメントの実施サイクルの適用などに取り組む」とした。