インシデント発生を前提に考えるサイボウズのセキュリティ対策とは？（2/3 ページ）

[國谷武史，ITmedia]

インシデント予防に注力するCy-SIRT

　2011年に設置されたCy-SIRTは、社外の組織や専門家と連携してインシデントの予防と早期の検知・解決、被害の最小化を目的に活動する部門横断型の仮想組織になる。「CSIRT（コンピュータセキュリティインシデント対応チーム）の中には専門部署として活動しているとこともあるが、Cy-SIRTは組織図に掲載されないバーチャルチーム。製品を含むより広いセキュリティ問題に取り組んでいる」（グローバル開発本部品質保証部 Cy-SIRT事務局担当の伊藤彰嗣氏）

Cy-SIRTの連携イメージ

　Cy-SIRTの源流は、2006年に設立した同社製品のセキュリティ問題に対応する「Product SIRT」。山本氏によれば、Product SIRTは当時に外部のセキュリティ専門家から脆弱性情報の公開が適切になされていないとの指摘を受けて発足した。これを契機に同社内でのセキュリティ意識が以前よりも高まり、2011年にクラウドサービス「cybozu.com」のリリースに合わせてCy-SIRTに機能強化されたという。

　現在のメンバーは山本氏のほかに、開発部長と品質保証部長、サイボウズ・ラボ担当者の4人を中心に、事務局担当として伊藤氏と兼任2人の3人による計7人体制となっている。当初は実質的に1人でセキュリティ情報の収集をメインに活動していたが、活動範囲の広がりで人員が増え、事務局を必要とする規模にまでなった。

グローバル開発本部品質保証部の伊藤彰嗣氏

　「立ち上げ当初はcybozu.comプロジェクトの中でCSIRTを名乗って活動していた。当社の場合、小さく始めて少しずつ活動を広げるようにしたのが良かった点。JPCERT コーディネーションセンター（JPCERT/CC）や日本シーサート協議会、ENISAなど海外のセキュリティ機関のベストプラクティスを参考にしている」（伊藤氏）

　日々の活動では特にインシデントの予防に重点を置く。cybozu.comなどのITサービスを提供している立場からも、脆弱性などの問題がユーザーのセキュリティリスクに直結しかねないためであり、一般に公開している「脆弱性情報ハンドリングポリシー」に基づいて脆弱性対応にあたる。

　脆弱性の対応は、まず同社サイトの受付ページやメール（主に海外などから）、セキュリティ機関などから連絡を受け付ける。受け付けた脆弱性情報は全てデータベースで一元管理され、個々には「共通脆弱性評価システム（CVSS）」のバージョン2に基づいて深刻度（0.0〜10.0のスコアにより注意・警告・危険の3段階で分類）を測定、評価する。

　評価後にCy-SIRTから関連部署に結果を通知し、関連部署では改修（脆弱性や不具合の修正など）時期の検討や作業などを実施する。Cy-SIRTは、この間もJPCERT/CCや情報処理推進機構などの調整機関と連携しながら、情報公開の準備を進める。改修作業の完了後にこれらの機関と連携して脆弱性情報を公開し、ユーザーへのアップデートを促していく。また、脆弱性情報提供者への謝辞も行う。

　脆弱性対応では外部から連絡を受け付ける以外にも、自社でも検証を実施したり、外部監査（最低でも年1回）を行ったりしており、kintoneサービスでは過去3年間で10回以上の監査を実施した。2014年から監査結果をWebサイトで公開している。

　一方、実際のインシデントでは5月に従業員が業務用PCを電車内で紛失する事件が起きた。PCは翌日に遺失物センターから回収されたが、調査ではパスワードを入力せずにログインできてしまうことが判明し、実際にログインされた痕跡も発見された。さらには、導入していたSophosの暗号化ソフトにも不具合が見つかった。

　「回収したPCの解析などのほか、Sophos側やJPCERT/CCとの調整もあり、対応には全体で1カ月ほどかかってしまった」（伊藤氏）という。情報公開後は再発防止策の徹底にもあたっている。