ライフネット生命が「全部門参加型CSIRT」にこだわる理由──非セキュリティ部門を巻き込む術を公開

全部門にセキュリティの有資格者を配置で“公用語”として定着

　ライフネット生命のCSIRTは、独立した部署ではなく、全22部門と子会社1社から各1名ずつ選出されたメンバーで構成される部署横断の仮想組織である（※2026年3月末時点）。この組織はCISO（リスク管理担当執行役員）をトップに、事務局、そして各部門から選ばれたCSIRTメンバーという3段構えで運用されている。

　注目すべきは、全CSIRTメンバーに対してIPA「情報セキュリティマネジメント試験」の合格を義務付けている点だ。これにより、全部門に有資格者が在籍する体制を構築し、セキュリティを全社共通の「公用語」として定着させている。2026年3月時点で合格者は37名に達し、全従業員の約15%を占めるまでになり、非システム部門からも上位資格の合格者を輩出するなど着実にセキュリティ人材化が進んでいるという。

　また「やらされるセキュリティ」を脱却するため、教育プログラムも現場主導に切り替えた。各部門のCSIRTメンバー自身が講師を務める部門別セキュリティ研修では、自部門の業務に即した内容にカスタマイズすることで、画一的な研修にありがちな他人事感を排除し、当事者意識を高めている。標的型攻撃メール訓練においても、事務局が一斉に送るのではなく、各部門のCSIRTメンバーが企画段階から関与するとした。人事担当者には採用公募関連の内容にするなど現場固有のリスクをリアルに再現した文面を各部門で作成し、繁忙期を避けた最適なタイミングで実施することで、訓練の形骸化を防いでいる。

1秒を争う有事に備え、5つの部門横断チームを組成

　この全部門参加型体制の真価は、非常時のインシデント対応において発揮される。有事の際は技術対応チーム、顧客対応チーム、対外広報チーム、当局対応・リスク管理チームが、事務局を中心とした全体統括チームのもとに迅速に組成される体制を整備。竹山氏はこの体制の価値について「実際にセキュリティインシデントが発生したときに、いざこれに対応するチーム、部門の方と初めましてからスタートするのと、毎月顔を合わせてセキュリティに対する議論をしているメンバーが入って話すのとでは、全然対応の速度が変わってくると思っています」と説明した。顔を知るメンバー同士がハブとして機能し、円滑なコミュニケーションが取れることは、初動対応の速度向上に大きく寄与しているという。

　また、取り組み開始から数年を経て、現場の自発的な活動という定性的な効果も生まれ始めた。象徴的な事例として、CSIRT事務局が企画したIPA提供のゲーム形式訓練「ABCSIRT」の広がりが挙げられる。CSIRT内で実施したこの訓練が好評を博した結果、メンバーが自発的に自部門のオフサイトミーティングに持ち帰り、楽しみながら学ぶ輪が全社に広がった。これはセキュリティを単なる堅苦しいルールではなく、自分たちで考えるべき身近なテーマとして捉える意識の変化が起きている証と言える。