SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ニッポンのシーサート

DeNAの組織内CSIRT、成功の秘訣は「ユーザー目線」と「古いルールの撤廃」―DeNA 茂岩祐樹氏


 日本においてCSIRTが広く知られるようになる前からいち早く組織内CSIRTを立ち上げ、日本シーサート協議会での活動にも積極的にかかわってきたDeNA。なぜ同社ではCSIRTを立ち上げ、そして具体的にどのような体制の下でどんな活動を行っているのか。CSIRTをはじめとするDeNAのさまざまなセキュリティ施策を統括している茂岩祐樹氏に話を聞いた。

事業環境の変化に応じたセキュリティ対策を実現するために組織内CSIRTを設立

 2015年4月1日時点で83チームが名を連ねる日本シーサート協議会(NCA:Nippon CSIRT Association)だが、その初期の段階から参画して社内外で広くCSIRTの活動に取り組んできたのが株式会社ディー・エヌ・エー(以下、DeNA)だ。同社は2011年12月に組織内CSIRT「DeNA CERT」を設立。社内におけるさまざまなセキュリティ強化施策に取り組むと同時に、NCAに加盟して他社のCSIRT組織とも積極的に交流を図ってきた。  

株式会社ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏

▲株式会社ディー・エヌ・エー システム本部
セキュリティ部 部長 茂岩 祐樹氏

  こうしたDeNAのセキュリティ施策を先頭に立って牽引してきたのが、同社 システム本部 セキュリティ部 部長の茂岩祐樹氏だ。同氏はもともと、DeNAの創業間もないころからインフラの構築・運用を担ってきた生粋のインフラエンジニアだった。そんな茂岩氏がセキュリティ分野に転じたきっかけは、2010年ごろに生じた事業環境の変化にあったという。  

  「弊社はもともとフィーチャーフォン向けのゲームプラットフォームを主力ビジネスとしてきましたが、2010年ごろからスマートフォン向けサービスに進出することになりました。さらに同じころ、海外市場にも進出するようになり、この2つの事業環境の大きな変化に直面した結果、セキュリティ施策により本格的に取り組む必要があると考えたのです」  

  もともとDeNAでは創業当初から、ユーザーの個人情報の取り扱いに関しては全社一丸で万全の備えを講じてきたという。しかし、携帯キャリアのゲートウェイ以外からのトラフィックを一律にシャットアウトすればセキュリティを担保できるフィーチャーフォン向けプラットフォームとは異なり、スマートフォン向けサービスではどこからどんなアクセスが来るか分からない。ましてや、海外向けサービスに進出するとなると、悪意のあるアクセスにさらされるリスクは格段に高くなる。  

  同社では当時、セキュリティ施策は部門やサービスごとにばらばらに行われていたが、こうした環境変化に対応していくためには、社内横断的にセキュリティ施策を立案・実施できる組織が必要だと茂岩氏は考えた。そこで同氏が社内で募ったメンバーを中心に、2011年に「DeNA CERT」が設立された。情報システム部門のセキュリティ技術者を中心に、事業部門や経営企画部門、品質管理部門など社内各部門のキーマンが加わり、定期的に開かれるミーティングの場で社内のさまざまなセキュリティ課題の報告や検討を行う体制を作り上げた。  

  こうした活動に続き、それまで社外のセキュリティ企業に依頼していた脆弱性診断を社内で行う体制も整え、2014年4月にはセキュリティを専門に扱う部署である「セキュリティ部」を新たに設立。茂岩氏がその責任者に就き、セキュリティに関する活動をすべて社内でまかなう体制が完成した。

次のページ
CSIRTの活動が実効性を得るには、事業現場との良好な関係構築・維持が不可欠

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
ニッポンのシーサート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6805 2017/11/10 12:03

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング