ライフネット生命が「全部門参加型CSIRT」にこだわる理由──非セキュリティ部門を巻き込む術を公開

「結構パワーがいる」全社横断組織を継続できるワケ

　最後に、全部門参加型CSIRTを継続しつつ成長させていくための条件として大きく3つを挙げた。

　第一に、全社活動としての正当性と推進力を維持するために、経営層にセキュリティの価値を伝え続け、現場が動ける環境を担保することだ。全部門から少なくとも1名参加者を募って毎月定例を行うため、スケジュール調整や各部門から理解を得ることが必要不可欠である。竹山氏は「結構パワーがいります」と前置きしつつ「ここはないがしろにできない重要な要素だと思っています」と、継続的な働きかけの重要性を強調する。

　第二に、貢献に報いる評価制度の設計だ。CSIRT活動は現場にとって負担になり得るため、同社ではこの活動を人事評価へ組み込む仕組みや、セキュリティをキャリアパスとして確立することを目指しているとした。

　第三に、資格取得をゴールではなく学びの習慣化のスタートと捉えることだ。最新の脅威に触れ続け、緊張感を共有する学習文化を醸成することが、実務レベルの即応力を左右する。竹山氏は「もし今、起きたら？ という緊張感を共有し、実務レベルの即応力を磨く」という姿勢が不可欠であると説いた。

組織の「即応力」を磨き続ける

　竹山氏は体制について「決して今の形が完全なベストではないと思っています。ここからどのようにアップデートしていくかは、全部門と議論をしていきたいポイントです」と、さらなる進化を見据えている。

　ライフネット生命が実践する全部門参加型CSIRTは、セキュリティをITの専門領域から組織全体の文化へと昇華させるための実効的な手段の一つと言えるだろう。竹山氏が最後に残した「全社員がセキュリティを自分ごととして捉えてもらうこと。手段としての全部門参加型CSIRT」というメッセージは、セキュリティの壁に突き当たっている多くの組織にとって、目指すべき一つの到達点を示している。