SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2016 講演レポート

ヤフー楠正憲氏が語る、Yahoo! JAPANが取り組む情報セキュリティ対策の組織と技術


 依然衰えを知らないサイバー攻撃に対し、多くの企業が最重要課題の1つとしてあげるセキュリティ対策。特に多くのユーザーアカウントを保有し、多彩なWebサービスを24時間365日提供するヤフーにとっても、全社をあげて取り組むべき課題だ。Yahoo! JAPAN ID事業部の責任者を経て、現在は CISO-Board、および OpenIDファウンデーションジャパン代表理事を務めるヤフー株式会社 CISO-Board の楠正憲氏が、「Security Online Day 2016」の特別講演に登壇。近年のサイバー脅威の傾向とともに、ヤフーが取り組む情報セキュリティ対策の組織、技術、必要なスキル等について語った。

2013年の不正アクセスから強化されたヤフーの情報セキュリティ体制

 日本随一のアカウントIDを保有し、多数のWebサービスを提供するヤフーにとって、情報セキュリティ対策は最重要事項といえるだろう。2013年から体制を強化しており、その要となるのが2014年に設置され、楠氏も務める「CISO-Board」だ。

ヤフー株式会社 CISO-Board 楠 正憲氏

 もともとヤフーでCTOとCISO(最高情報セキュリティ責任者)が兼任だったものを、2015年から分離。さらにそれ以前から、CISOが不在の際にいつ何が起きても、対応できるようCISO-Board 5人が配置されている。また、カンパニー情報セキュリティ責任者が配属されており、専任者とともに、カンパニーや統括組織のセキュリティ担当との兼任者によって構成されているという。


出所:ヤフー株式会社 楠 正憲氏 Security Online Day 2016 講演資料よりり[クリックすると図が拡大します]

 「以前はCISOの下に直接何十人もの情報セキュリティ委員を置いていました。しかし、金融や広告など様々なビジネスの多様化に伴い、それぞれに合致したセキュリティ対策を講じることが必要になりました。そこで、権限委譲を目的として、それぞれのカンパニーや統括組織ごとにカンパニー情報セキュリティ責任者を置いたわけです。各部門のカンパニー情報セキュリティ責任者の相談に乗り、全社の情報セキュリティ統括組織の長であるCISOに提案を行うことがCISO-Boardの役割です」と楠氏は説明する。

 なお、CISO-Boardは全社的なセキュリティの方針・戦略検討に加え、カンパニー情報セキュリティ責任者に対して指示や指導、相談対応などを行う。また、CISO不在の際には代行して対策責任者になることを想定しているという。

 こうした体制になる大きなきっかけとなったのが、2013年の不正アクセスだ。多くの企業で不正アクセスが多発し、ヤフーもまた大量のIDデータを漏洩することとなった。JPCERT/CCによるインシデント報告件数の推移を見ると、2013年は急激に増加していることがわかる。2003~4年頃、猛威を振るった「Blaster」の被害からウイルス対策ソフトが普及し、OSもセキュリティが強化されて一時期小康状態となった。それが2010年から再び増え始め、13年は一気に攻撃が増えているというわけだ。

次のページ
トレンドは典型的な“標的型”、多数のメール攻撃とバックドア侵入

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8574 2016/11/08 13:32

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング