Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「役割分担すればCSIRTは機能する」ANAグループのサイバーセキュリティ対策とCSIRT構築

2016/11/07 07:00

 どの企業もセキュリティ対策強化、特にコンピュータセキュリティのインシデント対応組織「CSIRT」の設置が求められている。しかしセキュリティが本業でない企業だと「どこから何を着手すれば?仮にCSIRTを作ってもきちんと機能するか?」など悩みは尽きない。ANA(全日本空輸)グループでは役割分担してCSIRTを組織として磨き上げている。「Security Online Day 2016」の特別講演では、その取り組みや勘所をANAシステムズの阿部恭一氏が解説した。

一般企業でも有効に機能するCSIRTをいかに構築するか

 まずはANAグループの情報セキュリティ体制から。ANAグループでは全体で情報セキュリティセンターを持ち、情報システム分野と人的分野の横断的な範囲をスコープとしている。情報システム分野はインシデントの予兆分析や防止策検討、およびインシデント対応がある。

 加えてシステム構築支援も重要な役割を担っている。システム構築時のガイドラインを作成し、セキュリティ適合確認は特に入念に行っている。人的分野は情報セキュリティに関わるルールを策定し、普段からアセスメントの実施や資産管理台帳などで情報を収集することでリスクと影響範囲を明確にし、教育などで底上げをはかり、さらに普段からルールが遵守されているか点検も行うようにしている。

ANAシステムズ株式会社  品質・セキュリティ監理室 エグゼクティブマネージャー
ANAグループ情報セキュリティセンター ASY-CSIRT 阿部 恭一氏

 今回のテーマは一般企業でも有効に機能するCSIRTをいかに構築するか。一口にCSIRTと言っても、企業の事業や規模によりCSIRTが何をすべきかは異なる。阿部氏は「企業ごとに異なるため、全く同じCSIRTは存在しないでしょう」と言う。加えて「昔のように誰かが職人技で対応するのはムリがあります。役務を役割分担しチーム力で対応する必要があります」と体制づくりの重要性を説く。逆に言えば役割分担すれば、セキュリティに長けたスーパーマンがいなくても、一般企業でも有効なCSIRTチームが作れるということである。  

 チームでセキュリティに立ち向かうことになるので、みんなで同じ方向を見なくてはならない。そのためにASY-CSIRT(ANAグループのCSIRT)では以下の行動基準を定めている。これはチームとしての心構えである。

  1. 私たちは正義の味方です。
  2. 私たちはプロフェッショナルです。
  3. 私たちは事実を正確に見極めます。
  4. 私たちはチーム力で対応します。
  5. 私たちは創意工夫し、挑戦し続けます。  

 セキュリティ脅威や攻撃に立ち向かわなくてはならないので、「イヤイヤ」だったり消極的な心構えではよくない。そのため「正義の味方」であると最初に大きく掲げている。そしてプロフェッショナルであること、的確に行動するために事実確認をした上で行動に起こすこと、チームで対応することを掲げている。そしてセキュリティインシデントとは想定外の事態が起きうるため創意工夫や挑戦を続ける姿勢も大事ということだ。

※この続きは、会員の方のみお読みいただけます(登録無料)。


関連記事

関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2016 講演レポート

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5