ライフネット生命が「全部門参加型CSIRT」にこだわる理由──非セキュリティ部門を巻き込む術を公開

オンライン完結型ビジネスにおける“セキュリティの重み”

　企業経営において今や、サイバーセキュリティはもはやIT部門だけの課題ではないが、多くの組織では依然としてセキュリティは専門部署がやるもの、あるいは面倒なルールを押し付けられるものという現場との深刻な意識の乖離に悩まされている。いざインシデントが発生した際、現場の協力が得られずに初動が遅れ、被害を拡大させてしまうケースは後を絶たない。このような課題に対し、ライフネット生命は”全員主役”を目指す「全部門参加型CSIRT」というユニークなアプローチで挑んでいる。

　登壇した同社 IT戦略部部長 兼 システム企画部部長である竹山真人氏は、金融系IT企業の開発・運用やスタートアップのCTO、大手コンテンツ企業でのセキュリティ担当の経験をもつ。竹山氏は2021年の入社以来、セキュリティグループマネージャーとしてこの組織構築を主導してきた。竹山氏は自身の役割について「CSIRTは平常時は目立たない組織なんですが、いざセキュリティインシデントが起こったら迅速に対応する組織です。なかなか運用が難しいとされていますが、我々の中でどのような取り組みをしているかお話ししたいと思います」と語り、全社員がセキュリティを自らの課題として捉える体制の重要性を説いた。

　ライフネット生命が全部門参加型という形態を選んだ背景には、同社特有のビジネス構造がある。店舗を持たず、24時間365日インターネットで申し込みや請求を受け付ける同社にとって、ウェブサイトは顧客との唯一の接点であり、まさに会社の顔そのものである。竹山氏は同社のセキュリティ環境を分析し、営業所がないため物理的な考慮が少なく、システム構成がはじめからオンライン前提でシンプルであるという利点を挙げた。また、組織規模が大きすぎず、デジタル上の動きを観測しやすい点も強みとなる。一方で、システムダウンした場合は即座に顧客接点を喪失することになり、セキュリティ事故が会社の評価に直結するという難点も抱えているとした。

　さらに生命保険という商品の性質上、数十年単位の長期間にわたって契約を管理できる堅牢さが必要となる。このような状況下では、一部の専門家だけが守りを固める従来のスタイルでは限界がある。そこで竹山氏は社員が新しいサービスの利活用に積極的であるという文化を活かしつつ、そのリスクをコントロールするために「セキュリティの自分事化」が必要だと考えた。竹山氏は「少数精鋭にならざるを得ないのが正直なところではありますが、セキュリティ意識を高めやすいというのは間違いなくあると思っています」と述べ、組織の規模を逆手に取って全員を当事者に仕立てる方針を示した。