セブン銀行のCSIRTは「商品開発部門」がカギ――マーケティングの知見を生かしたセキュリティ対策とは？：ITmedia エンタープライズ セキュリティセミナーレポート（2/3 ページ）

[齋藤公二，ITmedia]

「マーケティング×セキュリティ」で金融犯罪対策にイノベーションを

　7BK-CSIRTでは、セキュリティの全社方針を決めるのに合わせて、サイバーセキュリティリスク管理規定も制定。守るべき基準を作ることで、リスクを低減するための投資が得られやすい環境を整備した。

　また、2017年にはCSIRTに求めるスキルと人材育成計画も策定した。「外部の専門家の知見やサービスをフル活用できることが重要であり、必ずしも専門家でなくてもよい」「セキュリティ検討会の運営などを通じて、経営層とのコミュニケーションができる」「金融ISACなどへ参加し、活動を通して能力を向上できる」といった具合だ。

　「7BK-CSIRTが大切にしている姿勢は大きく4つです。まずは、相手に興味を持たせる情報発信をすること。次にメンバーを変えて本番を想定した議論や演習を行うこと。3つ目は商品を意識した考え方で体制組みを行うこと。最後はメンバーは入れ替わるものと考え、人に依存しない体制を作ることです」（安田氏）

7BK-CSIRT設立から今までの道のり

セブン銀行におけるセキュリティ対策の全社方針

　その上で安田氏は、商品開発とCSIRTの活動を通して「サイバー攻撃の攻撃者と、サービスに対するロイヤルカスタマーはある意味で似ていることに気が付いた」と話す。

　ロイヤルカスタマーに対して高い品質のサービスを提供しようとすると、さまざまな顧客属性や顧客行動を分析していく必要がある。CSIRTで攻撃者の行動や属性を分析する作業はそれと似ているのだという。そこで出てきたのが、マーケティング手法をサイバー攻撃に適用するという発想だ。

　「セブン銀行には不正対策のノウハウや取引データがあります。これらをマーケティング手法を活用してビッグデータと見なして分析します。さらに、不正ログインの検知などのASPサービスと連携させることで、一歩踏み込んだ不正検知プラットフォームが実現できるようになりました」（安田氏）

不正検知プラットフォームの概念図

　安田氏自身がそうであるように、商品開発者がセキュリティを担うことについて同氏は「商品開発者にしかできないセキュリティ対策があります。システムではなく、商品の特性に起因する対策を行うのです。商品やサービスについて一番詳しいからこそ、攻撃者から守る行動や工夫ができます」と強調した。

　最後に「攻撃は組織化、巧妙化しています。情報の連携、金融機関同士の連携、そして業界を超えた連携を図ることで、不正利用を防止する仕組みを整備していきたいと思っています。競い合うべきは商品開発やサービスの部分。セキュリティについては、企業や業界を超えて協力するのがあるべき姿でしょう」と述べ、ユーザー同士の連携が重要だと訴えた。