世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」ITmedia エンタープライズ セキュリティセミナーレポート(2/4 ページ)

» 2018年01月25日 08時00分 公開
[タンクフルITmedia]

 合わせて「そんな状況でも、グローバルなキャンペーンなどを展開するときには『とにかく、明日にはWebサイトを公開しなければならない』となるケースもあった」(浅野氏)という。そこで、Webサイトの脆弱性対策としてセキュリティゲートウェイ(WAF)の活用に踏み切った。

 こうした取り組みを踏まえて立ち上がったYMC-CSIRTは、当時は社内の数名でのスタートだったが、「その後4年間で海外拠点のメンバーも加わり、グローバルなCSIRTに成長した」(浅野氏)という。

 海外拠点までガバナンスを効かせる組織体制を作るにあたって意識したのは、本社や子会社のIT部門が一緒に活動する「分散型CSIRT」という考え方だ。特定部署のメンバーだけで対応するのではなく、本社や子会社のIT部門が一緒に活動する。具体的には、グローバルCSIRTの下に、リージョン統括の役割を担う部門を設置し、そこが各国ローカルを管轄するCSIRTとして機能する三層構造で運営している。

photo ヤマハ発動機のCSIRTは「分散型」という考え方をモチーフに、世界中の社内組織を統括しているのがポイントだ

 立ち上げ当時は運営のノウハウなどがなかったことから、日本CSIRT協議会に加盟した。「他社のセキュリティ担当者と直接コミュニケーションが取れるようになり、少しずつ知見がたまっていった」(浅野氏)という。

 現在、ヤマハ発動機では、組織内のセキュリティ強化に関してグローバルポリシーを定め、そのもとでNISTやCSFなどのフレームワークに沿ったガイドラインを作成している。各国で展開されるWebサイトにおいても、ガイドラインに沿ったマニュアルを作成した。CSIRTの実務メンバーには、標準ツールとしてインシデント発生時のハンドブックを用意。メンバー間のコミュニケーションには、SharePointとYammerを利用しているそうだ。

 「脆弱性も攻撃者もゼロにはならない。もはやサイバー攻撃から逃れることはできないでしょう。セキュリティ対策の特効薬はなく、地道な対策を積み重ねるしかないが、そのいばらの道を進むには社内外との連携が重要。セキュリティサービスパートナーや社内関連部署との連携や顔つなぎ、そして日ごろの啓もう活動が重要だ」(浅野氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ