DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方：続・企業CSIRTの最前線（3/3 ページ）

[國谷武史，ITmedia]

内外との連携がセキュリティの強化に

　DeNA CERTの活動では、外部の企業CSIRTや各種コミュニティーとの連携も重要なものになっている。管理部門や技術部門などメンバーによって関わり先はそれぞれだが、チーム内では各人がそれぞれにセキュリティ対策のヒントや脅威動向などの情報を共有し、セキュリティを強化していくための検討に役立てているという。

　渡辺さんの場合は、DeNA CERTとして参加する日本シーサート協議会（NCA）での地区活動タスクフォースが中心だ。国内ではCSIRTの設立や立ち上げを検討する企業が急増しており、渡辺さんはNCAのメンバーとして全国各地で説明会の企画や運営に携わっている。

　「CSIRTの活動では社内だけでなく外部との窓口を持つことが重要です。外部の方との情報交換を通じて得たヒントを社内の対策に生かしたり、逆にアドバイスをすることで役立てていただいたりするほか、セキュリティに対する考え方なども知ることができます。社内にいるだけでは孤独ですから……」（渡辺さん）

　昨今は、多くの企業や組織で情報セキュリティの強化が叫ばれ、セキュリティ担当者も技術系部門ばかりではなく、管理部門や事業部門などにも広がっているという。渡辺さんは管理部門に所属するため、NCAでの活動がセキュリティの視野を広げる意味でも大きな刺激になっているという。同社ではこうした活動への参加を推奨しているとのことだ。

　国内でCSIRTが本格的に誕生したのは2000年代前半のこと（NCA設立は2006年）。当初の増加ペースは年間数チームほどだったが、いまでは1カ月で十数チームが設立されるほどの状況にある。新興CSIRTの多くが体制や活動の進め方など多くの悩みを抱える。

　渡辺さんは、「CSIRTの形は会社によって全く違います。まず目前のセキュリティ課題の解決に取り組み、次にどうすべきかを判断することもあります。そのためには情報交換を通じて自社の状況を理解することも大切だと思います」と話す。企業ごとに形態が異なってもCSIRTには、情報セキュリティを高めていくという共通の目標があり、「一緒にがんばる仲間ですね」（渡辺さん）という。

　今後のDeNA CERTとしての目標は、社員が都度相談をしなくても自らセキュリティを意識して仕事に取り組める環境の実現だ。「相談をやめるわけではありませんが、自律的にセキュリティを高めていける会社にしたいですね。その方が当社のビジネススピードをもっと速めることができるはずです」（平田さん）