インシデント発生を前提に考えるサイボウズのセキュリティ対策とは？（1/3 ページ）

完璧なセキュリティなどあり得ない――サイボウズが自社製品における脆弱性対策やインシデント（事故や事件など）における対応などについて語った。

[國谷武史，ITmedia]

　標的型サイバー攻撃からPC紛失といったミスに至るまで、企業や組織を取り巻くセキュリティインシデントには様々なものが存在する。これまでのセキュリティ対策はインシデントを防ぐことに重点が置かれたものの、近年はインシデント発生を前提に影響を最小化する取り組みも求められるようになった。こうした観点によるセキュリティ対策の取り組みをサイボウズが説明した。

“正しい”セキュリティとは？

執行役員運用本部長の山本泰宇氏

　サイボウズは2014年から情報システムの運用を担当する「運用本部」を設置している。執行役員運用本部長の山本泰宇氏は、同社のセキュリティでは主に顧客の情報資産を守ることがテーマだとし、「セキュリティを含めたシステムの運用を適切に実施していく体制にした」と述べた。

　セキュリティ対策の運用は、情報セキュリティを“正しく”理解している人材が担うというのが同社の方針だという。情報セキュリティではよく「機密性」「完全性」「可用性」の3つの要素が挙げられるが、同社ではこれらに加えて、「真正性」「追跡性」「信頼性」「否認防止」の4つを加味した7つの要素で構成されると捉えている。同社における“正しい”セキュリティ対策とは、7つの構成要素を理解し、各要素を分析し、インシデント発生を前提に備えることをいうそうだ。

　また、同社の対策では（1）完璧なセキュリティは存在しない、（2）攻撃・防御のリソースは有限、（3）網羅性を原則にしているという。

　（1）では例えば、どんなに技術的な対策を講じてもPCの紛失といった人的ミスの発生は回避できない。（2）では低いコストで実行可能な攻撃を潰したり、攻撃側に多くのリソースを消費させたりするような対策とすることで攻撃側にメリットが無いようにさせていく。（3）は（1）の点を踏まえて技術的な対策と人への教育・啓発の両面でのアプローチが必要との考え方である。

サイボウズの考えるセキュリティ

　運用本部におけるセキュリティ対策としては、本部内をさらに細分化して各人の権限をできる限り小さくするとともに、インターネットやLANと隔離された運用専用の環境を構築しているという。「システムへのアクセス権限を持っている人員は私のデスクから見渡せる範囲のごく少数しかいない」（山本氏）

　また、セキュリティ対策の体制としては2011年に「Cy-SIRT」、2013年にはCy-SIRTから社内セキュリティルールの検討などの業務を分離した「Cybozu Security Meeting」という委員会をそれぞれ設置している。