“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT:ITmedia エンタープライズ セキュリティセミナーレポート(3/4 ページ)
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。
グローバルなセキュリティ対策に効く「弁護士依頼者秘匿特権」
CSIRT運用の高度化と実践に関する講演は2部構成で、前半はオリック東京法律事務所・外国法共同事業 訴訟部代表パートナー弁護士の高取芳宏氏が、ヨーロッパや米国での法規制を踏まえたグローバルな情報セキュリティ対策について、法律視点からの注意点を説明した。
高取氏は、ヨーロッパのGDPR、アメリカのUS「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」を説明し、続けて、アメリカの民事訴訟には「Discovery」と呼ばれる、いわば「証拠開示」の手続があることに触れた。
Discoveryでは例えば、「専門業者に依頼して実施した脆弱性診断テストで、脆弱性を指摘する報告書が提出され、セキュリティ担当者間で『うちのセキュリティは脆弱だね』といったコミュニケーションが残された場合、こうした内部的なコミュニケーションも証拠として開示の対象となる可能性が高い」(高取氏)という。こうなってしまうと、グローバル展開をしている企業では、訴訟の際に不利な証言や証拠まで開示しなくてはならなくなってしまう。
ただし、全情報の開示の原則には例外がある。それが「Attorney-Client Privilege」だ。「弁護士依頼者秘匿特権」で、弁護士と依頼者の間のコミュニケーションについては、内容を秘匿することが認められるというものだ。
弁護士依頼者秘匿特権では、弁護士と依頼者との間で「法的助言の一環として」なされたかどうかがポイントとなる。高取氏は、例えば社内のセキュリティ担当者間や外部のセキュリティ関連事業者などとのやりとりが弁護士依頼者秘匿特権の対象となるようにするには、「外部の弁護士によるリスクやコンプライアンスについての法的助言の一環としてサイバーセキュリティ監査・評価を指揮することが得策」とアドバイスした。
関連記事
- 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス
「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。 - 日本の中枢を守れ――政府のサイバー演習「CYDER」の現場
標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。
Copyright © ITmedia, Inc. All Rights Reserved.