DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方：続・企業CSIRTの最前線（1/3 ページ）

インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。

[國谷武史，ITmedia]

　インターネットサービス大手のディー・エヌ・エー（DeNA）は、ゲームやeコマース、オークションなど多種多様な事業を手掛ける。オンラインビジネスでは新しい取り組みや変化のスピードが必須であり、同時に利用者の情報をセキュリティの脅威から守らないといけない。同社は2011年に、オンラインサービスの品質向上と情報セキュリティ対策の両面を担う「DeNA CERT」（DeNA Computer Emergency Response Team）を設立している。

CSIRTに至るタイミング

　DeNA CERTの設立が検討された2011年前後は、それまで同社の成長を支えていた携帯電話（ガラケー）市場が、iPhone人気を皮切りにスマートフォンへシフトし始めた時期にあたる。これに合わせて国内がメインだったオンラインサービスの海外展開に注力していく。この時にビジネスリスクとして懸念されたのが、サイバー攻撃などの脅威だ。

　「スマートフォンの脅威について議論を重ねていた頃、海外の企業でサイバー攻撃による大規模な個人情報の漏えい事故が発生し、セキュリティ状況の把握や対策の強化を急ぎました」（システム本部 セキュリティ部 セキュリティ推進グループ グループリーダー の渡辺文恵さん）

　渡辺さんにとって印象に残る出来事が、2011年4月に米国で発生したSony Computer Entertainment（現Sony Interactive Entertainment）のオンラインゲームサービス「PlayStation Network」に対する不正アクセスだったという。この事件では数千万ユーザーの個人情報が漏えいしており、オンラインサービスのグローバル化を検討していたDeNAにとって、決して“対岸の火事”ではない出来事だったようだ。

　この頃、同社のセキュリティ対策は都度講じていく状況だったという。渡辺さんはサービスの品質管理に携わっており、セキュリティの業務も所属部署の範囲が中心だった。「情報システム部門やITインフラの部門などがそれぞれに対策を担っていましたが、ネットワーク責任者（現セキュリティ部長の茂岩祐樹さん）が、組織横断的に取り組む必要性を感じてCSIRTの立ち上げを準備しました」（渡辺さん）

　一方でCSIRTとは別に、同時期に社内の情報セキュリティについて検討する「セキュリティ対策ミーティング」が発足した。渡辺さんは品質管理部門の立場からセキュリティポリシーやルールの作成にあたっていたが、「いざ実行するとなると、自分たちができることは限られますので、技術部門や人事、法務などあらゆる部門の協力が不可欠でした。各部門にミーティングへの参加を呼び掛け、セキュリティ対策を考えるタスクフォースとして活動するようになりました」という。

　そこで、CSIRTの設立とセキュリティ対策ミーティングの活動が一体化され、DeNA CERTの原型となる組織横断型の情報セキュリティのチームができあがった。

DeNACERTの体制と組織間連携のイメージ（DeNA提供）

　同社は、2014年にセキュリティポリシーをグローバル共通のものへ全面的に改定。この時、DeNA CERTが全社の情報セキュリティ委員会の直下で対策を担う体制としてポリシーの中で定義され、立場や活動の目的、内容、体制などが明文化された。併せてセキュリティ部が新設され、コンプライアンス部門の法務やリスク管理、情報システム部門などの担当者などもCSIRTのメンバーに加わった。

　「実際の体制が多く変わったわけではありませんが、セキュリティポリシーの見直しを2013年から進めていく過程では各部署の協力が欠かせませんでした」（渡辺さん）

　例えば、リスク管理部門では同社における危機管理の全体を所管しており、有事における対応フローなどを整備している。ITや情報セキュリティにかかわるインシデントが発生した場合、連絡先や対応部門がバラバラでは適切に行動できない。これらのインシデントの対応もリスク管理部が定めるフローに合わせ、組織横断でDeNA CERTが対応していく体制が確立されることとなった。