セブン銀行のCSIRTは「商品開発部門」がカギ――マーケティングの知見を生かしたセキュリティ対策とは？：ITmedia エンタープライズ セキュリティセミナーレポート（1/3 ページ）

ITmedia エンタープライズのセキュリティセミナーにセブン銀行のCSIRT「7BK-CSIRT」が登場。システム部門だけではなく、商品開発部門をメンバーに加え、マーケティングの視点を持って、金融犯罪対策を進めているのだという。

[齋藤公二，ITmedia]

　顧客応対システムが使えなくなり、最初は単なる障害と思って対応していたら、実際にはサイバー攻撃だと分かった――。セブン銀行は、こうした事件をきっかけに2015年10月、CSIRT組織「7BK-CSIRT」を設立したという。

　2018年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」のセブン銀行のセッション「それは、インターネットバンキングの不正送金事案から始まった……セブン銀行7BK-CSIRTの軌跡」では、7BK-CSIRTの取り組みと、商品開発者の目線から見たセキュリティの在り方が紹介された。

セブン銀行のCSIRTは「商品開発部門」がカギ？

セブン銀行 7BK-CSIRT エグゼクティブアドバイザーの安田貴紀氏

　講演を行ったのは、7BK-CSIRTエグゼクティブアドバイザーの安田貴紀氏。同氏は2000年に凸版印刷に入社し、主に金融機関向けサービスの企画開発に従事した後、2004年にセブン銀行に入社。事業開発部で口座の商品、チャネル開発を担当し、金融犯罪対策部に異動後は、不正対策の企画や7BK-CSIRTの立ち上げを行い、CSIRTのリーダーを経験した。

　現在は、セブン・ペイの商品開発や新規ビジネス開発を担当しており、企画や事業の開発とセキュリティ両方の知見を持つ。普通預金からローン、海外送金、ネット決済など多彩なサービスを提供するセブン銀行だが、安田氏はそんな同社のセキュリティの考え方についてこう話す。

　「ATMとインターネットを通じた非対面取引によるサービス提供がほとんどであり、システムへの依存度が高いです。そのため、セキュリティに対する意識も高いという特徴があります」（安田氏）

　7BK-CSIRTは、金融犯罪対策部に設置されているが、システム部門だけではなく、商品開発部門を含む複数の部署を横断した多様なメンバーで構成されている。これは、サイバー攻撃やスキミング、フィッシング、組織的な不正口座開設といったさまざまなインシデントに幅広く対応するためには、商品を知るメンバーが必須になるためだ。

　その活動内容は、インシデントの情報収集、インシデント発生時のハンドリング、経営層への情報発信など多岐にわたる。特に定期的に開催している「セキュリティ検討会」では、経営層を含めた50人以上がサイバー攻撃のトレンドについて学び、自社で発生したケースを想定したディスカッションを行っているという。

セキュリティ検討会の概要