国内で活動する先進企業のシーサート事例：インシデントと戦うCSIRT（2/3 ページ）

[ITmedia]

情報共有体制を強化したカカクコム

　「KKCSIRT」（Kakaku.com Security Incident Response Team）は、カカクコムのシーサートである。シーサートとして正式に立ち上がったのは2007年であるが、実際には2005年5月に発生したWebサイトがマルウェア配布サイトに改ざんされ、10日間ものサービス停止に陥ったインシデントをきっかけにインシデント対応体制がほぼでき上がっていた。

　その体制をシーサートの国際コミュニティーである「FIRST」（Forum of Incident Response and Security Teams）の加盟要件（情報管理など）に合う形で整理し、シーサートの枠組みに当てはめたのがKKCSIRTである。

　KKCSIRTは、中核となる「情報セキュリティ室」の専属メンバーを中心に、ほかの業務と兼務したメンバーから構成される。情報セキュリティ室はいわゆる情報システム部ではない。社内の情報セキュリティ全般に関わる方針を決め、それを社内に周知徹底させる役割を持つ。

　また、KKCSIRTは社長の直下にあり、社内への対応指示や外部（コミュニティーなど）への情報開示など、インシデント対応に必要な多くの権限を与えられている。ただし、事業の基盤であるWebのサービス停止といったクリティカルな局面においては、経営層による意思決定が必要であるが、経営層との情報共有が速やかに行われるように実装されている。

強い権限を有するmixirt

　「mixirt」（ミクサート、mixi incident response team）は、ミクシィのシーサートである。mixirtは、2007年春に発生したDDoS（大規模なサービス妨害）攻撃によって、あるサービスの運営に2日間障害を受けたインシデントをきっかけに、全社的なインシデント対応体制として2008年に設置された。その形態は、社長直下の「コーポレートデザイン室」を中心とし、法務や広報から兼務のメンバーが参加するプロジェクトチームである。

　コーポレートデザイン室には、内部監査を担当するグループと情報セキュリティを担当するグループがあり、その情報セキュリティを担当する情報セキュリティグループがmixirtの中心となっている。

　mixirtは社長直下にあり、社内の該当部署への対応指示や緊急時の業務の優先付けを行うなどのインシデント対応に関する強い権限を有している。一方、事業の根幹となるサービスの停止に関わる意思決定は社長が行うが、その場合mixirtは情報収集機関として、社長の意思決定に必要な情報の収集、分析、整理を行い、社長に直接エスカレーションする。

　しかし、mixirtのメンバーが直接インシデントに対応することはなく、実際に対応作業を行う部署へ指示をしたり、システムの監視などの面で運用グループに協力してもらったりするなど、全社的インシデント対応体制の大きな枠組みの中で、mixirtはコーディネーションセンターとしての役割を担っている。