“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT:ITmedia エンタープライズ セキュリティセミナーレポート(1/4 ページ)
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。
役員も巻き込んで危機意識を共有
ジャパンネット銀行(JNB)は、日本初のインターネット専業銀行として2000年に開業し、早くからサイバーセキュリティに関するさまざまな取り組みを実践してきたことで知られる。
2017年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」では、同社のIT統括部サイバーセキュリティ対策室長を務める岩本俊二氏が、JNB-CSIRTの活動を通じて得られた成果や知見を紹介した。
JNB-CSIRTは、ジャパンネット銀行が2012年から検討を開始し、2013年に立ち上げた組織で、2017年11月の時点で、11人のメンバーが所属している。岩本氏によれば、JNB-CSIRTは一部SOC(Security Operation Center)の機能も兼ねた形で活動しており、そこが特徴だという。
「セキュリティ業界では『CSIRTとSOCは兼ねない方が良い』との意見もあるが、当行の規模では、それが難しいと判断した。現在では、SOCを一部兼ねたCSIRTを『ベストエフォート』で運営している」(岩本氏)
JNB-CSIRTでは、顧客の資産や情報、システムなどをサイバー攻撃から守ることをミッションとし、それを業務の優先事項と定めている。ベストエフォートな運営をするためには、例えば管理手続きをする際、個人のノウハウに依存することがないよう、決めごとを定義するなど工夫をしている。
JNBでは脆弱性を判断する基準として、共通脆弱性評価システムのCVSSを使っている。同社では、「CVSSのレベルが7以上」「外部から攻撃可能」「他社で被害が発生」などの5つの項目で対応を判定しており、このうち4つに該当した場合に緊急対応するという。
JNB-CSIRTの活動概要として、岩本氏は以下の6つを挙げる。
- セキュリティ意識向上のための啓蒙活動
- インシデントハンドリングに関する規定整備
- 標的型メール訓練
- 共同演習への参加(インシデント演習)
- セキュリティ人材育成
- ログ分析
岩本氏は「標的型メール訓練」について、「『開封率が低い方が良い』『開封の数値がだんだん減ってきた』というのを目標としている企業が多いようだが、私の考えではそれを目標にするのは少し違う気がする」(岩本氏)と指摘する。
関連記事
- 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス
「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。 - 日本の中枢を守れ――政府のサイバー演習「CYDER」の現場
標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。
Copyright © ITmedia, Inc. All Rights Reserved.