一般企業でも有効に機能するCSIRTをいかに構築するか
まずはANAグループの情報セキュリティ体制から。ANAグループでは全体で情報セキュリティセンターを持ち、情報システム分野と人的分野の横断的な範囲をスコープとしている。情報システム分野はインシデントの予兆分析や防止策検討、およびインシデント対応がある。
加えてシステム構築支援も重要な役割を担っている。システム構築時のガイドラインを作成し、セキュリティ適合確認は特に入念に行っている。人的分野は情報セキュリティに関わるルールを策定し、普段からアセスメントの実施や資産管理台帳などで情報を収集することでリスクと影響範囲を明確にし、教育などで底上げをはかり、さらに普段からルールが遵守されているか点検も行うようにしている。
ANAシステムズ株式会社 品質・セキュリティ監理室 エグゼクティブマネージャー
ANAグループ情報セキュリティセンター ASY-CSIRT 阿部 恭一氏
今回のテーマは一般企業でも有効に機能するCSIRTをいかに構築するか。一口にCSIRTと言っても、企業の事業や規模によりCSIRTが何をすべきかは異なる。阿部氏は「企業ごとに異なるため、全く同じCSIRTは存在しないでしょう」と言う。加えて「昔のように誰かが職人技で対応するのはムリがあります。役務を役割分担しチーム力で対応する必要があります」と体制づくりの重要性を説く。逆に言えば役割分担すれば、セキュリティに長けたスーパーマンがいなくても、一般企業でも有効なCSIRTチームが作れるということである。
チームでセキュリティに立ち向かうことになるので、みんなで同じ方向を見なくてはならない。そのためにASY-CSIRT(ANAグループのCSIRT)では以下の行動基準を定めている。これはチームとしての心構えである。
- 私たちは正義の味方です。
- 私たちはプロフェッショナルです。
- 私たちは事実を正確に見極めます。
- 私たちはチーム力で対応します。
- 私たちは創意工夫し、挑戦し続けます。
セキュリティ脅威や攻撃に立ち向かわなくてはならないので、「イヤイヤ」だったり消極的な心構えではよくない。そのため「正義の味方」であると最初に大きく掲げている。そしてプロフェッショナルであること、的確に行動するために事実確認をした上で行動に起こすこと、チームで対応することを掲げている。そしてセキュリティインシデントとは想定外の事態が起きうるため創意工夫や挑戦を続ける姿勢も大事ということだ。
