限られた資源で“全社的な”セキュリティ体制を構築──パーソルHD／ライフネット生命／太田油脂の変革

ライフネット生命保険は「全部門参加型」CSIRTを構築／対策はスモールスタートで推進

　最後に登壇したライフネット生命保険は、従業員約250名、22部門からなる生命保険会社だ。同社のCSIRTは、全部門および子会社から各1名ずつメンバーを選出する「全部門参加型」という特徴を持つ。トップにCISOを設置、その下にシステム運用部門などで構成されたCSIRT事務局があり、さらにその下に各部門から選出されたCSIRTメンバーが並ぶ構成だ。

　同社 IT戦略部部長の竹山真人氏は「全社的なセキュリティ意識を向上させなければいけないという意識のもと、全部門からCSIRTのメンバーを集めている」と説明する。当初、この体制にはCSIRTメンバーの業務負荷や知識不足、モチベーション維持といった課題があったという。なかでも、部門間でセキュリティ意識に差が生じていることは大きな問題のひとつとして挙げられていた。退職した元メンバーからの引継ぎが不十分であり、「名ばかり担当者」となっているメンバーもいたそうだ。

　そこで同社が見出した突破口のひとつが、「IPAが主催する『情報セキュリティマネジメント試験』合格義務付け」だ。この施策について、当初は学習コストがかかることから抵抗の声もあがったという。

　しかし、CSIRTを構築した時に「メンバーの合格は義務である」と取り決め、施策を遂行。これにより、後から配属されたメンバーは自然と資格勉強に取り組む空気が生まれていったという。竹山氏は「合格すれば自分自身の実績にもなるうえ、セキュリティについて詳しくなることで自ずと責任感を持つようになるため、効果的だった」と振り返る。

　2025年7月時点で試験には33名が合格しており、これは全従業員の約15%に相当する。さらに、情報セキュリティマネジメント試験の上位試験である「情報処理安全確保支援士試験」にも、3名が合格した（2025年7月時点）。全部門に有資格者が在籍する体制を整えたことで、セキュリティが全社共通の「公用語」となり、部門の垣根を越えた円滑な連携が実現したという。

　現在、同社はCSIRTメンバーを活用した施策を展開している。情報セキュリティ研修は部門ごとに開催し、各部門のCSIRTメンバーが講師を担当。これにより、各メンバーがセキュリティに対する責任感を持てるようになった。また、自分が所属している部門メンバーが講師を務めることから、受講者側も質問しやすい環境が生まれたという。そのほか、IPAが提供するゲーム形式のインシデント対応訓練をCSIRT内で実施したところ、メンバーが自部門に持ち帰って自主的に展開するなど、セキュリティの輪が草の根的に広がった。

　また、標的型攻撃メール訓練も部門主導で実施。CSIRT事務局が用意したテンプレートを基に、各部門の担当者が業務内容に合わせてカスタマイズし、効果的なタイミングで訓練を行っている。有事の際は、関連部門のCSIRTメンバーが対応チームを組成し、現場との「ハブ」となる体制だ。

　「もし『すべての取り組みを一気にやろう』と経営陣に提案していたら、順調には進まなかったかもしれません。当社は、『月に1時間だけ学習する』といったスモールスタートで、徐々に組織を作っていきました。最初の一歩が踏みやすい環境をつくり、それを継続して積み上げていけば効果も出てくるはずです」（竹山氏）

　3社の取り組みに共通するのは、セキュリティを単なるリスク管理から事業を支える武器へと転換させた点だ。太田油脂は、業務への影響を考慮した15分研修と認証取得を通じてセキュリティ文化を醸成し、それを地域貢献ビジネスへと発展させた。パーソルHDは、株価への影響など定量的説明と地道なコミュニケーションでSOC再編を実現し、初動対応60％短縮などの成果を創出。ライフネット生命保険は、全部門参加型CSIRTに資格試験義務化や、部門に即した研修・訓練を組み合わせ、セキュリティを全社の「公用語」に変え、現場起点のリスク管理を可能にした。

　杉山氏が冒頭で指摘したように、セキュリティ対策に短期的な特効薬はない。しかし、3社の事例から学べるとおり、人の育成や技術の導入、カルチャーの醸成などを、各社の規模と文化に応じて設計し、地道に継続すれば、セキュリティは確実に経営の武器になるのだ。