“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT:ITmedia エンタープライズ セキュリティセミナーレポート(4/4 ページ)
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。
CSIRT運用の高度化と可視化の重要性
高取氏に続いて登壇したのは、NANAROQ ソリューション開発部の嶋崎絵美子氏。同社は、企業経営におけるリスク管理ソリューションなどのGRCをはじめ、CSIRT・教育、検知やフォレンジック、EDRやDLPなどのセキュリティソリューション事業を展開している。
現在、多くの企業でCSIRTの立ち上げや組織化が進んでいる中、CSIRTの活動内容の可視化と高度化、リスク最小化のための弁護士との協業推進の重要性が高まっている。
嶋崎氏は、そうした状況に触れながら、各企業におけるCSIRTの運用の高度化を実現するクラウドサービスとして、同社が2017年7月にリリースした「CSIRT MT」を紹介した。
CSIRT MTは、CSIRTやSOCの運用に最適化したクラウドアプリケーションで、セールスフォース・ドットコムが提供する「Salesforce App Cloud」上で動作する。インシデント対応管理機能、脆弱性対応管理機能、レポート・ダッシュボード機能などを備え、「クリティカルなCSIRT運用を自動化し、『見える化』できるのが特徴」(嶋崎氏)という。
情報セキュリティの“体幹を鍛える”CompTIA認定資格
続くセキュリティ人材の育成に関する講演は、CompTIA日本支局 シニアコンサルタントの板見谷剛史氏によるCompTIA(コンプティア/コンピュータ技術産業協会)の概要紹介から始まった。
CompTIAは、グローバルで活動するITの業界団体で、ベンダーニュートラルな教育やビジネスの標準化をはじめ「Certification」事業として「ベンダーニュートラルの認定資格を通して、世界中のプロフェッショナルのスキルアップ、キャリアアップ実現のために活動している」(板見谷氏)という。
板見谷氏は、CompTIAの認定資格をランニングのトレーニングに例え、「いわば“体幹を鍛える”もの」と説明。それに対し、ベンダー資格は最先端のスキルなどを身に付けることから、「最新のシューズやウェアを手に入れるようなもの」と表現した。
続けて、CompTIAの資格をサッカーに例え、「情報セキュリティ業務基準の『CompTIA Security +』は『スタメン11人が共通持つべきスキル』、セキュリティアナリスト業務基準の『CompTIA CSA +』はボランチが持つべきスキルといえる」と紹介した。
グローバルに情報セキュリティ対策を展開するためにASICS-CSIRTを立ち上げ――アシックス 谷本重和氏
板見谷氏に続いて登壇した、アシックス グローバルIT統括部 グローバル基盤チーム セキュリティリードの谷本重和氏は、同社における情報セキュリティへの取り組みの経緯を紹介した。
同社では、将来的に発生する可能性あるインシデントへの対応とリスク管理のために、2015年に情報セキュリティ委員会と情報セキュリティ管理事務局を設置。しかし、2つの組織だけでは、国内外の地域をカバーし迅速にインシデントに対応するのが難しかったことから、2016年10月にグローバルIT統括部内にASICS-CSIRTを立ち上げた。
谷本氏自身も、CSIRT立ち上げなど、社内での情報セキュリティ体制の整備にあたって「CompTIA CSA +」などの資格を取得。キャリアパスを踏まえ、CSIRT業務に携わる社内の人材育成にも注力しているという。
谷本氏は、同社の情報セキュリティのロードマップとして、2017年はセキュリティポリシーの見直し、グローバルセキュリティガバナンスの構築、セキュリティソリューションの評価、導入などに取り組んだことを説明。
そして、2018年には「セキュリティポリシーの強化、セキュリティソリューションのグロ―バル展開、情報セキュリティマネジメントの実施サイクルの適用などに取り組む」とした。
関連記事
- 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。 - アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - CSIRTづくりに“魂”を込めて――JPCERT/CCのアドバイス
「社員1000人の会社では何人のCSIRT担当者が必要でしょうか……」。この視点で検討していくと、失敗してしまうかもしれません。JPCERT/CCにCSIRTづくりのポイントを聞きました。 - 日本の中枢を守れ――政府のサイバー演習「CYDER」の現場
標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。
Copyright © ITmedia, Inc. All Rights Reserved.