2013年の不正アクセスから強化されたヤフーの情報セキュリティ体制
日本随一のアカウントIDを保有し、多数のWebサービスを提供するヤフーにとって、情報セキュリティ対策は最重要事項といえるだろう。2013年から体制を強化しており、その要となるのが2014年に設置され、楠氏も務める「CISO-Board」だ。
ヤフー株式会社 CISO-Board 楠 正憲氏
もともとヤフーでCTOとCISO(最高情報セキュリティ責任者)が兼任だったものを、2015年から分離。さらにそれ以前から、CISOが不在の際にいつ何が起きても、対応できるようCISO-Board 5人が配置されている。また、カンパニー情報セキュリティ責任者が配属されており、専任者とともに、カンパニーや統括組織のセキュリティ担当との兼任者によって構成されているという。
出所:ヤフー株式会社 楠 正憲氏 Security Online Day 2016 講演資料よりり[クリックすると図が拡大します]
「以前はCISOの下に直接何十人もの情報セキュリティ委員を置いていました。しかし、金融や広告など様々なビジネスの多様化に伴い、それぞれに合致したセキュリティ対策を講じることが必要になりました。そこで、権限委譲を目的として、それぞれのカンパニーや統括組織ごとにカンパニー情報セキュリティ責任者を置いたわけです。各部門のカンパニー情報セキュリティ責任者の相談に乗り、全社の情報セキュリティ統括組織の長であるCISOに提案を行うことがCISO-Boardの役割です」と楠氏は説明する。
なお、CISO-Boardは全社的なセキュリティの方針・戦略検討に加え、カンパニー情報セキュリティ責任者に対して指示や指導、相談対応などを行う。また、CISO不在の際には代行して対策責任者になることを想定しているという。
こうした体制になる大きなきっかけとなったのが、2013年の不正アクセスだ。多くの企業で不正アクセスが多発し、ヤフーもまた大量のIDデータを漏洩することとなった。JPCERT/CCによるインシデント報告件数の推移を見ると、2013年は急激に増加していることがわかる。2003~4年頃、猛威を振るった「Blaster」の被害からウイルス対策ソフトが普及し、OSもセキュリティが強化されて一時期小康状態となった。それが2010年から再び増え始め、13年は一気に攻撃が増えているというわけだ。
