SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート

事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント

愛されるセキュリティ部門になる──。ANAグループが2025年に向け体現するCSIRTの姿


 多くの事業会社でCSIRTを設立する動きがあるものの、その機能が十分に発揮されず、人材の確保や育成も難しいという課題が浮上している。ANAシステムズのセキュリティマネジメント部でCSIRTの指揮を執る阿部恭一氏と岩井洋氏は、ANAグループのセキュリティ強化を推進する中で、この課題に対する具体的なアプローチを模索してきた。両氏は2024年9月25日~26日に開催された「Security Online Day 2024 秋の陣」に登壇し、CSIRT組織を維持・成長させていくためのポイントと、ANAグループにおける実践事例を紹介。2025年に向け、事業会社のセキュリティ組織はどう在るべきかを示した。

「CSIRTが機能しない」理由を根本まで探ってみる

 近年、セキュリティインシデントに対応する専門チーム「CSIRT(シーサート)」を設立する企業が増えている。しかし、設立したものの運用フェーズで思うように機能せず、人材の確保や育成も進まないまま停滞しているケースが多い。

 ANAグループのセキュリティ対応チームとして、2013年にANAシステムズ内に設立された「ASY-CSIRT」。その立ち上げを主導した阿部恭一氏は、日本でも先駆けてこうした課題の解決に尽力してきた人物だ。まず同氏は、「CSIRTとはどのような組織であるべきなのか」という問いから話を始めた。

 「CSIRTとは決して特別な組織ではなく、最終的には不要になるべき存在だと私は考えています。セキュリティが品質管理や安全対策の一環として捉えられ、当たり前のように運用部門に統合されていくことが理想です。現在のCSIRTは、その理想に向けた過渡的な存在だと捉えています」(阿部氏)

ANAシステムズ株式会社 セキュリティマネジメント部 エグゼクティブマネージャー/株式会社レオンテクノロジー 相談役 阿部恭一氏
ANAシステムズ株式会社 セキュリティマネジメント部 エグゼクティブマネージャー/株式会社レオンテクノロジー 相談役
阿部恭一氏

 この理想をかなえるために、まずはCSIRT組織の維持と成長が必要だと阿部氏。その実現に向け重要なポイントとして以下の4つを挙げ、それぞれについて詳しく解説した。

  • 自社のセキュリティ業務への正確な理解
  • チームの能力育成
  • インシデント対応力の強化
  • 経営層との連携&必要なリソースの確保
[画像クリックで拡大表示]

自社のセキュリティ業務、本当に理解できているか?

 まずは、自社のセキュリティ業務に対する詳細な理解が不可欠だ。自社にはどんな資産があり、自分たちが守るべきものは何か。どう守るべきなのか。守るためには何が必要で、現状では何が足りないのか。皆さんは、正確に把握できているだろうか。

 さっそく、自分たちが所属する組織の資産を棚卸ししてみよう。阿部氏は棚卸しすべき重要項目として、自社の資産とその状態、セキュリティ機器の配置、インシデント対応プロセスの再確認などを挙げた。急速に変化する脅威やテクノロジートレンド、事業環境に対し、果たして現行のプロセスは適切に対応できるのか。今一度、検証することが求められる。

 セキュリティ製品の運用においては、「導入して終わりではなく、常に最適化を続けなければならない」と阿部氏。悪意ある攻撃者は、常に新しい抜け道、いわゆる“脆弱性”を見つけ、それを悪用しようとする。加えて、コロナ禍以降の働き方の変化を踏まえたセキュリティ運用ポリシーの策定・更新が重要だと述べた。

 こうした取り組みを進めるにあたり、阿部氏は「民民連携」の重要性を訴えた。公的な機関との官民連携だけでなく、民間同士でインシデント対応やベンチマークの情報共有を行うことが、自社のセキュリティ水準向上につながるからだ。

 「日本シーサート協議会やISACのような信頼できる民間団体の中で得られる、外部には公開できない貴重な情報が非常に役に立つのです」(阿部氏)

 加えて同氏が推奨するのは、「インテリジェンスの活用」だ。地政学的な脅威動向や、他社のインシデントを参考にした考察は、自社のセキュリティ戦略を策定するうえで欠かせない要素となる。参考にする情報として、阿部氏はIPAの『脅威インテリジェンス導入・運用ガイドライン』を例に挙げた。

次のページ
多くのCSIRTが意外とできていない「適材適所」のメンバー配置

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail : k...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20632 2024/10/31 15:19

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング