セキュリティ人材不足でもSIRT組織は作れる！　鍵は橋渡し役「1.5線」の仮想組織

プロダクトごとの組織サイロ化　セキュリティレベルにもバラつき

　金融や決済領域におけるコンサルティングを祖業とするインフキュリオンは、スマホ決済プラットフォーム「Wallet Station」をはじめとしたエンベデッド・ファイナンスの基盤となるサービスが支持されたことで、今事業が急拡大している。そんな同社ではSIRT設立前、いくつかのセキュリティに関する課題に直面していた。まずは「情報伝達」の仕組みだ。同社では、2018年ごろからグループ会社を含めた事業と組織の急拡大にともない、異なる情報セキュリティマネジメントシステム（ISMS）やPCI DSS認証が混在するように。それらを統合するオーナー組織はなく、CISOをハブとするコミュニケーション頼りになり、経営判断のスピードが低下し、結果的にインシデント対応がプロダクトごとにサイロ化・属人化していた。

　グループ横断での標準的なセキュリティの定義や相談先はなく、各部門がリソース不足の中で独自に脆弱性情報やサイバーセキュリティ動向を収集するため、情報収集にバラつきが生じてしまう。結果として、前述した課題に直面して抜け出せない──こうした状況を打開すべく、CISOが横断的なセキュリティ組織である「SIRT」設立を経営陣に提言した。このときの提言は、「フレームワーク」「フェーズ」「リファレンス」という3つの観点からまとめられたという。

　フレームワークには、経済産業省とIPA（情報処理推進機構）が発行している『サイバーセキュリティ経営ガイドライン』を基準として採用。社会や国から求められる水準がまとまっており、経営層との議論でも共通言語になった。

　また、当時インフキュリオンは上場を目指していたため、既に上場しているベンチマーク企業がCSIRTやPSIRTを設置した年を確認したところ、どの企業も上場前にはSIRTを立ち上げていたことが判明。こうしたフレームワーク（客観性）やフェーズ（段階）の妥当性、リファレンス（他社事例）の具体性から、経営層に「今、SIRTを設立する必要がある」ことを説明し、合意形成に成功した。