それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?:リーダー4人に聞いた2025年のCSIRTの形(前編)(1/2 ページ)
2024年はKADOKAWAのランサムウェア被害など、国内でも注目を集めたインシデントが発生した。各社CSIRT組織はこれらの問題からどんな教訓を得て、どう組織運営に生かしたか。体制が異なる4社の取り組みを聞いた。
ランサムウェアをはじめとしたサイバー脅威が高度化・複雑化し、世間でも大きな話題を集めている。組織がランサムウェア被害に遭う可能性が「万が一」ではなくなっている今、インシデントを適切に対応するためにはCSIRTのような専任組織を立ち上げ、しっかりと運用することがますます重要になっている。
一方で企業の中には「CSIRTをはじめとしたインシデント対応に特化した組織を立ち上げられていない」「CSIRTを構築したもののうまく運用できていない」「セキュリティ業務を統括する責任者がいない」「責任者にどのように旗を振ってもらえばいいか分からない」などセキュリティ対策に当たる組織の構築・運用において悩みを抱えるところも多い。
そこで「ITmedia エンタープライズ」では現役のCSIRT担当者を招き、2024年のサイバーセキュリティ状況や気になったトピックを振り返りつつ、それらが自社のCSIRTに与えた影響の他、CSIRTの必要性、今の時代におけるCSIRTの理想的な役割、2025年の展望など幅広いテーマで座談会を実施した。悩めるセキュリティ担当者の背中を押すヒントとなった同会のレポートをお送りしよう。
KADOKAWAのインシデントを各社はどう見たのか?
――まずは、皆さんのCSIRTの立ち上げの経緯を教えてください。
松本 純氏(以下、松本氏): サイボウズのCSIRT、「Cy-SIRT」の松本です。サイボウズでは2006年に製品のセキュリティインシデントに対応する組織としてPSIRTを立ち上げ、その後2011年にクラウドサービスをリリースすることを機にPSIRTを強化しCy-SIRTとして、全社的なセキュリティインシデントに対応する体制を構築しました。
そこからさまざまな取り組みを進めてきました。しかし徐々に全社のセキュリティマネジメントや監査・認証への対応などへのウェイトが大きくなったことから、これらの業務をCy-SIRTとは別の組織にしようということになり、2017年にセキュリティ室を作りました。私は2022年4月からセキュリティ室に所属しています。
セキュリティ室と各社CSIRTとの役割は異なると思いますが、社内システムを運用する情報システム部門や顧客向けサービスの開発および運用部門、その他全ての部門に対して、セキュリティ施策を支援する組織としてセキュリティ室を位置付けています。セキュリティ室とPSIRTを合わせて、兼務を含め20人くらいのメンバーで構成されています。
津留大介氏(以下、津留氏): CygamesのCSIRT、「Cygames-CSIRT」の津留です。当社は2011年にできた若い会社で、スマートフォンのゲームの市場拡大に乗り、急激に規模が大きくなっていました。そのような状況の中で、ゲーム開発以外のコンプライアンスやガバナンス、セキュリティなども強化する必要性が高くなっていき、セキュリティ部署が立ち上がりました。
その動きの中で、セキュリティ部署だけではできない範囲、例えば全社を巻き込んだ活動や指針作成などを担う組織が欲しいということで、2018年12月にCygames-CSIRTが立ち上がりました。
コアメンバーは大体10人くらいです。基本的には起こった問題に対して、定例会議で情報交換しつつ、その時々に必要な人を呼ぶという体制にしています。
普段の業務は、圧倒的に個人情報の取り扱いに関する質問が多いですね。当社はゲーム開発事業を中心とする企業ですが、漫画やアニメなど多方面にビジネスを広げています。コンサートやプレゼント企画など、場合によっては個人情報を取り扱うことになるので、社内から寄せられるそれらの質問をさばくことが業務の8割を占めます。残りは、多種多様なセキュリティの相談やインシデント対応です。セキュリティ部門と共同で社内向けの啓発活動も進めていますが、CSIRTでなければできないことをやるというのが座組みですね。
石田 悠(以下、石田氏): NTT西日本のCSIRT、「NTT WEST-CIRT」の石田です。当社ではサイバーセキュリティ対策への認識の高まりを受け、2013年12月にCSIRT組織を立ち上げています。
その後2014年7月にはグループ会社であるNTTネオメイトに、サイバーセキュリティオペレーションセンタ(CSOC)を発足させました。昨年の7月にはこれらを統合したセキュリティ&トラスト部が設立されており、セキュリティ人材の育成に関わるチームやSOCチームも含めると約100名の組織となっています。。
私はその中でも脆弱(ぜいじゃく)性管理を担うチームに所属しています。インシデント対応のサポートに入ることもありますが、どちらかというとインシデントが起こらないようすることが主な業務です。NTT西日本が作ったシステムやWebサービスのセキュリティチェックやリスクアセスメントを実施しているので、その意味ではPSIRTに近い部分も業務としている感じですね。関西では間もなく大阪万博も開催されるので、同じ担当内のメンバーはそれに向けたインシデント対応の訓練なども企画しています。
中本琢也氏(以下、中本氏): エムオーテックスのCSIRT、「MOTEX-CSIRT」の中本です。今日参加している他の会社は1000人を超える企業かと思いますが、エムオーテックスは500人弱の規模です。弊社は事業としてIT資産管理ツールの開発・販売・サポートやセキュリティサービスを提供しているからこそ、企業のセキュリティ対策に関わるメーカーとして顧客やパートナー、従業員、会社を守るための重要な組織としてCSIRTを構築しました。
立ち上げは2017年ですが、立ち上げから現在までCSIRTは従業員の一部のメンバーが兼務しています。よく言えば、従業員皆で協力し合っているという感じですが、実態は常に人員不足に悩まされています。「顔が見えるCSIRT」を活動のポリシーとしているので、CSIRTの活動時やメンバーを紹介している資料ではメンバーの趣味なども載せ、身近なCSIRTを意識しています。
今ではISMSの監査やルールづくり、インシデント対応、注意喚起など、よく言えば全部やっています。計画的にいろいろ実施しているというよりは、その年その年で試行錯誤しながらやっているところです。2024年4月からはセキュリティ専任者を2人置ける体制がやっと整いました。
平時の今こそ情報交換し準備せよ――2024年、気になったインシデントは
――2024年はさまざまなインシデントが発生しました。KADOKAWAのような大企業でもランサムウェア被害が発生し、ランサムウェアによる影響の認知も進んだ1年だったと思います。そういったインシデントから、CSIRT内ではどんな会話があったのか、従業員や経営層の意識の変化などもお聞かせいただければと思います。
津留氏: その話題、無限にしゃべれますね(笑)。
石田氏: KADOKAWAの件はやはり当社でも話題になりました。ランサムウェアによる単純な被害というよりも、サイバー攻撃のビジネス化・組織化が進む中で、それへの対応という観点で話題に上がっています。
また2024年末から多発したDDoS攻撃も、国家間の関係に起因したサイバー攻撃という観点で、電気通信事業のインフラを持つ当社にとっても非常に気になる話題です。
ビジネス化、つまり金銭のためのサイバー攻撃と、単純に金銭だけではない、国家間の対立によるサーバー攻撃の観点。そのどちらもセキュリティの考慮が必要という点で注目のトピックでした。
中本氏: サイバー攻撃は一昔前の日本なら、「米国の巨大企業が被害を受けて大変なんだ」といった程度の印象だったかもしれません。しかし今では特定のサービスが利用できなくなるといった“実は身近に影響が出る脅威”という認知が進んでいます。ただ認知が進んだ一方で、インシデント被害に遭った企業の責められ方も激しさを増しており、状況の変化を強く感じる1年でした。
松本氏: ランサムウェア被害時の情報発信について各社がどう対応しているかは気になっています。KADOKAWAを例に挙げると、真偽は置いておいて内部リークと思われる情報がきっかけとなって報道されました。一部ではこの報道がランサムウェアグループの利になってしまった、という声もあります。企業の担当者として、インシデント対応時に全社で情報統制をしっかりすること、出すべき情報をコントロールするのは実際簡単ではありません。
「どのような情報を発信するか」「発信した情報をどう着地させるか」はインシデントごとに異なると思います。これを平時から準備しておかないと、おかしな取り上げられ方をしてしまい、別の方向で盛り上がってしまう。その意味では、業界が違っていたとしても、CSIRT同士で集まって情報を交換することは意義があると思います。
中本氏: CSIRTに広報機能が含まれていないところもまだ多いですが、広報部門との連携は大事ですね。普段から対外的な対応や従業員への情報伝達あるいは情報統制、対外発信時の懸念をお互いに擦り合わせておかないと、インシデント時にいきなりやろうとしても世間と自社のギャップを埋められず、会社として適切な対応を取れません。
津留氏: 中本さんのお話には共感していて、インシデントが起こったとき、これまで関係性の薄かったメンバーで集まって動こうとすると、うまく動けないということが多くあります。普段から薄い関係でもいいですから、継続的にコミュニケーションをとって連絡しやすい状況を保つことは重要ですね。
ただ、これをうまくやろうにも具体的な方法がよく分からないこともあるでしょう。そのため日本シーサート協議会のような場で、外部と交流する場を自主的に設けるのも大事です。もはやセキュリティは1社だけでやるものではなく、共通認識を持つ仲間と積極的に情報交換しながら進めるものだと思います。
――普段から、薄くても関係を持ち続けるという点に関して、具体的にはどのようにしていますか?
津留氏: Cygamesの場合、一例として定例会議を開催して情報交換の機会を設けています。その際、貴重な時間を頂くことになるため相手にもメリットのある議題を取り扱うよう心掛けています。例えば法務であれば法務の方々にも有益な情報を提供できるように、その時々に適した議題を事前準備して臨むといったところですね。
石田氏: NTT西日本の場合、人数も多いので全ての部署とコミュニケーションと取るのが困難です。そのためインシデントレスポンスチームの訓練の中に、関係部署を巻き込み、「有事の際にはこう動きましょう」という連携の予行演習をしています。ただ、グループ会社全体を見ていると、普段リーチしない、出会えない方々もいるので、どう触れ合っていくのかというのは課題として持ち続けているのが正直なところです。
松本氏: サイボウズでは全社のBCPとして年に1回訓練を実施しています。この取り組みはセキュリティ室の主体というよりもビジネス部門が中心となって進めていて、監査対応のドキュメントも整備しています。
この他、セキュリティのことを気軽に相談できる会議体をセキュリティ室主導で開催し、セキュリティに関する規定だけでなく、相談なども含めて話しています。日常の業務は自社のグループウェア上で実施されているため、気軽に相談・雑談できる環境が整っています。
――取り組みに非協力的な部門はありますか。
石田氏: 非常に答えにくいですね(笑)。正直、対応される方の個人差は大きいなと思っています。非協力的というわけではなく、そもそもセキュリティになじみがなく何をすればいいのか分からない方、なぜそのセキュリティ対策が必要なのか分からないという方も一定数います。
こちら側ではきちんと説明したつもりでも、前提となる必要性の部分を省略してしまってることはあるので、そういう方と話すときはただ「セキュリティ対策してください」とお願いするのではなく、きちんと基本的なことから「こういう理由で必要です」と分かりやすく説明するように心掛けています。
Copyright © ITmedia, Inc. All Rights Reserved.