SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「V-SIRT」設置でセキュリティ体制を強靭化 インフキュリオンに学ぶミニマムなSIRTの立ち上げ方

1.5線の仮想組織からセキュリティ意識を変える


 金融機関のセキュリティ対策組織は金融ISACがあり、FISC安全対策基準なども整備されている。しかし、「エンベデッド・ファイナンス(組込型金融)」を提供するフィンテックベンチャーとなると、金融機関とはみなされないため金融業界におけるセキュリティ情報共有の輪に入れなかったりする。フィンテックベンチャーのインフキュリオンでは、近年あらためてSIRT室をミニマム体制で構築し運用を開始した。どのような経緯で、どのようなSIRT室を作ったのか、インフキュリオンの熊白浩丈氏と片岡亮平氏に訊いた。

フィンテックベンチャーの特殊な立ち位置 業界内でのセキュリティ情報共有が困難に

 セキュリティインシデントに対応するCSIRT(Computer Security Incident Response Team)の起源は、1980年代にインターネットで拡散した初期のワームがきっかけで発足したCERT/CCとなる。追って日本でもJPCERT/CCが発足した。なお、CSIRTはコンピュータやネットワークのセキュリティに目を向けていることに対して、SIRTやPSIRTは自社製品のセキュリティ品質に目を向けているといったところに違いがある。

 日本の金融業界に目を向けると、金融機関のサイバーセキュリティ情報を共有する金融ISACの存在感は大きい。これは米国で設立されたFS-ISACをモデルとし、2014年に発足した組織だ。フィンテック業界で存在感を増しているインフキュリオンのCISO 熊白浩丈氏は「金融ISACが設立されてから、わずか数年で一気に主要金融機関でSIRTが立ち上がっていきましたね」と振り返る。同氏は、複数の金融機関に対してセキュリティコンサルタントとしてSIRTなど、セキュリティ組織の立ち上げをサポートしていた経歴を持つ。

 システム開発会社や通信会社など、IT技術を事業のコアとしていた企業と異なり、金融機関は自社にエンジニアを抱えることは少なく、システム開発・運用は外注を基本とする企業が多い。そのためセキュリティ監視のSOC(Security operation center)も外部委託がほとんどで、黎明期はSOCとの連携をどうハンドリングすべきかというルールを決めることが多かった。前例がない中、多くの金融機関がメガバンクの動向を注視しながら模索していたという。

 熊白氏は「金融機関は相当のコストに耐え得るだけの体力があったため、高額なセキュリティ機器も導入できました。そのため機器構成は十分でしたが、そのハンドリングは(ノウハウが追いつかずに)大変そうでしたね」と話す。2024年を迎えた現在、システムを取り巻く環境は大きく変化しており、オンプレミスからクラウドへ、セキュリティはかつての境界防御からゼロトラストへと移行している。

インフキュリオン 執行役員 CISO システム本部長 熊白浩丈氏
インフキュリオン 執行役員 CISO システム本部長 熊白浩丈氏

 熊白氏が所属するインフキュリオンは2006年に設立され、先進的な金融・決済サービスを提供することに心血を注ぐフィンテックベンチャー。オープンAPIを用いて事業会社のサービスに金融機能を組み込む「エンベデッド・ファイナンス(組込型金融)」という潮流をけん引してきた企業でもある。ガートナーの「バイモーダルIT」の概念におけるモード2の企業体であり、いわゆる前述したような大手金融機関とは異なる文化で育ってきたエンジニアも多い。

 文化や成り立ちが異なるだけに手を取り合うといっても一筋縄ではいかず、同社のようなフィンテックベンチャーなどは金融業界において特殊な立場にある。たとえば、金融機関や保険会社、証券会社、情報処理会社などからなる「FISC(金融情報システムセンター)」では金融機関として扱われていない。金融ISACでもエンベデッド・ファイナンスを提供している企業は(サプライチェーンの一端を担うものの)金融機関と見なすことが難しく、加盟できていないという。

 熊白氏は「金融業界に所属する企業・団体で重要情報を連携したいと思っても、関連組織に加入できないため容易に情報を入手できない状況にあります」ともどかしさをにじませる。エンベデッド・ファイナンスをはじめ、その他業種のベンチャー各社もほぼ似た状況にあるだろう。

 なお、インフキュリオンのようなベンチャー企業が集まるFintech協会でもセキュリティに関する分科会があり、金融ISACなどと意見交換の場はあるが、あくまで活動の一部の範疇である。「やはり、我々のような企業も金融ISACに加入できることがベストだろうと感じます」と熊白氏。SIRTの構築・運営において、外部との情報共有は重要事項だ。

 同社 SIRT室長を務める片岡亮平氏も「SIRT室の活動はまだ1年未満ですが、他社との会合で情報交換をさせていただくと気づきや学びが多く、やはり情報共有の場は必要だと思います」と話す。

次のページ
3線の防衛線、1.5線の“仮想SIRT”組織を定義

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

岡本 拓也(編集部)(オカモト タクヤ)

1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19064 2024/01/31 15:02

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング