世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」:ITmedia エンタープライズ セキュリティセミナーレポート(2/4 ページ)
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。
合わせて「そんな状況でも、グローバルなキャンペーンなどを展開するときには『とにかく、明日にはWebサイトを公開しなければならない』となるケースもあった」(浅野氏)という。そこで、Webサイトの脆弱性対策としてセキュリティゲートウェイ(WAF)の活用に踏み切った。
こうした取り組みを踏まえて立ち上がったYMC-CSIRTは、当時は社内の数名でのスタートだったが、「その後4年間で海外拠点のメンバーも加わり、グローバルなCSIRTに成長した」(浅野氏)という。
海外拠点までガバナンスを効かせる組織体制を作るにあたって意識したのは、本社や子会社のIT部門が一緒に活動する「分散型CSIRT」という考え方だ。特定部署のメンバーだけで対応するのではなく、本社や子会社のIT部門が一緒に活動する。具体的には、グローバルCSIRTの下に、リージョン統括の役割を担う部門を設置し、そこが各国ローカルを管轄するCSIRTとして機能する三層構造で運営している。
立ち上げ当時は運営のノウハウなどがなかったことから、日本CSIRT協議会に加盟した。「他社のセキュリティ担当者と直接コミュニケーションが取れるようになり、少しずつ知見がたまっていった」(浅野氏)という。
現在、ヤマハ発動機では、組織内のセキュリティ強化に関してグローバルポリシーを定め、そのもとでNISTやCSFなどのフレームワークに沿ったガイドラインを作成している。各国で展開されるWebサイトにおいても、ガイドラインに沿ったマニュアルを作成した。CSIRTの実務メンバーには、標準ツールとしてインシデント発生時のハンドブックを用意。メンバー間のコミュニケーションには、SharePointとYammerを利用しているそうだ。
「脆弱性も攻撃者もゼロにはならない。もはやサイバー攻撃から逃れることはできないでしょう。セキュリティ対策の特効薬はなく、地道な対策を積み重ねるしかないが、そのいばらの道を進むには社内外との連携が重要。セキュリティサービスパートナーや社内関連部署との連携や顔つなぎ、そして日ごろの啓もう活動が重要だ」(浅野氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。
「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。
急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。
インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。