SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2015 講演レポート

ヤマハ、DeNA、KADOKAWAの実践者が語る、組織内CSIRTに必要な要件と機能とは?

 いざというときのセキュリティインシデント対応を迅速かつスムーズに行う上で、極めて重要な役割を果たすとされるCSIRT。このCSIRTを自社内に設け、有効に機能させるには、一体どんなポイントを押さえておくべきなのか?実際に企業において、組織内CSIRTの設立と運営に深く関わっている3名のエキスパートを招き、そのコツや勘所について大いに語ってもらった。

 9月7日に開催した編集部主催のセキュリティイベント「Security Online Day 2015」の中から、パネルディカッション「先進ユーザー各社に聞く、組織内CSIRTに必要な要件と機能とは?」の概要とポイントを紹介する。

 パネリストを務めたのは以下の3名。それぞれが、所属する企業内でCSIRT組織の立ち上げと運営に深く関わっている。モデレーターは明治大学ビジネス情報倫理研究所の守屋英一氏が務めた。

▲パネルディスカッション 出席者(写真、左から)
  • 守屋 英一氏(明治大学ビジネス情報倫理研究所 客員研究員)
  • 茂岩 祐樹氏(株式会社ディー・エヌ・エー システム本部 セキュリティ部 部長)
  • 西村 卓也氏(株式会社KADOKAWA管理局 情報システム部 情報技術課 課長、角川アスキー総合研究所 客員研究員)
  • 原子 拓氏( ヤマハ発動機株式会社 プロセス・IT部 IT技術戦略グループ 主務)

組織内CSIRTの設立と運営をスムーズに運ぶには?

 最初に取り上げられたテーマは、「CSIRT構築における経営層の説得は?」。いくらセキュリティ対策の現場でCSIRTの必要性を痛感していても、上層部や経営層がその必要性を認めなければ、CSIRT組織の立ち上げになかなかGOサインは出ない。ITやテクノロジーの動向に疎い経営層に対し、いかにしてCSIRTの意義や必要性を説くか?多くのセキュリティ担当者が頭を悩ます問題かもしれないが、茂岩氏は「同業他社の事例や、政府・官公庁からのお達しを説得材料としてうまく使う」ことを推奨する。  

株式会社ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏

 「企業の経営層は、同業他社で起きたインシデントの事例や、『政府機関と取引するにはCSIRTが必要』といったようなお上から降ってくるルールには、極めて敏感に反応する。そうした情報を説得材料として使うのは有効だ。一方で、セキュリティ事故のニュースは大々的に取り上げられる一方、忘れ去られるスピードも早いので、同業他社でインシデントが発生した際にすぐ上層部に進言できるよう、常日頃からセキュリティ動向にアンテナを張り巡らせておくことが重要だ」(茂岩氏)  

 また西村氏は、CSIRTをセキュリティ対策だけでなく、「内部統制強化」のための施策だと提案することも有効だと述べる。  

 「企業のセキュリティ対策は今、内部統制の対象事案として扱われている。従って、内部統制の観点からその重要性を主張すると、経営層は敏感に反応すると思う。また、IPAや日本シーサート協議会がCSIRT設立の指南書を公開しているので、それらを経営層に読ませるのも説得効果があると思う」(西村氏)  

 こうした意見を受け、守屋氏は「やはり多くの企業では、皆さんと同じように現場レベルからボトムアップで経営層を説得する形が多いようだ。では、そうやって経営層を説得できたとして、次にどうやって実際にCSIRTを構築すればいいのか?そこでは、どんな課題や問題点が存在するのか?」と論点を提示した。これに対して茂岩氏は、「CSIRTで最も大変なのは設立よりも、『いかに機能させるか』にある」と力説する。

 「CSIRTの設立自体は、基本的にはCSIRTを名乗ればいいだけ。本当に大変なのは、そうやってできた組織をきちんと機能させること。そのため弊社では、現場から相談を受けたときに決して怒らず、『親身になって一緒に問題解決に当たる親しみやすい組織』というイメージ作りを重視している。これにより、現場で何か起きた際に真っ先に相談してくれるようになり、CSIRTがCSIRTとしてきちんと機能するようになった」(茂岩氏)

次のページ
CSIRTを担うセキュリティ人材をいかに確保するか?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7321 2015/10/29 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング