SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2016 講演レポート

「役割分担すればCSIRTは機能する」ANAグループのサイバーセキュリティ対策とCSIRT構築


 どの企業もセキュリティ対策強化、特にコンピュータセキュリティのインシデント対応組織「CSIRT」の設置が求められている。しかしセキュリティが本業でない企業だと「どこから何を着手すれば?仮にCSIRTを作ってもきちんと機能するか?」など悩みは尽きない。ANA(全日本空輸)グループでは役割分担してCSIRTを組織として磨き上げている。「Security Online Day 2016」の特別講演では、その取り組みや勘所をANAシステムズの阿部恭一氏が解説した。

一般企業でも有効に機能するCSIRTをいかに構築するか

 まずはANAグループの情報セキュリティ体制から。ANAグループでは全体で情報セキュリティセンターを持ち、情報システム分野と人的分野の横断的な範囲をスコープとしている。情報システム分野はインシデントの予兆分析や防止策検討、およびインシデント対応がある。

 加えてシステム構築支援も重要な役割を担っている。システム構築時のガイドラインを作成し、セキュリティ適合確認は特に入念に行っている。人的分野は情報セキュリティに関わるルールを策定し、普段からアセスメントの実施や資産管理台帳などで情報を収集することでリスクと影響範囲を明確にし、教育などで底上げをはかり、さらに普段からルールが遵守されているか点検も行うようにしている。

ANAシステムズ株式会社  品質・セキュリティ監理室 エグゼクティブマネージャー
ANAグループ情報セキュリティセンター ASY-CSIRT 阿部 恭一氏

 今回のテーマは一般企業でも有効に機能するCSIRTをいかに構築するか。一口にCSIRTと言っても、企業の事業や規模によりCSIRTが何をすべきかは異なる。阿部氏は「企業ごとに異なるため、全く同じCSIRTは存在しないでしょう」と言う。加えて「昔のように誰かが職人技で対応するのはムリがあります。役務を役割分担しチーム力で対応する必要があります」と体制づくりの重要性を説く。逆に言えば役割分担すれば、セキュリティに長けたスーパーマンがいなくても、一般企業でも有効なCSIRTチームが作れるということである。  

 チームでセキュリティに立ち向かうことになるので、みんなで同じ方向を見なくてはならない。そのためにASY-CSIRT(ANAグループのCSIRT)では以下の行動基準を定めている。これはチームとしての心構えである。

  1. 私たちは正義の味方です。
  2. 私たちはプロフェッショナルです。
  3. 私たちは事実を正確に見極めます。
  4. 私たちはチーム力で対応します。
  5. 私たちは創意工夫し、挑戦し続けます。  

 セキュリティ脅威や攻撃に立ち向かわなくてはならないので、「イヤイヤ」だったり消極的な心構えではよくない。そのため「正義の味方」であると最初に大きく掲げている。そしてプロフェッショナルであること、的確に行動するために事実確認をした上で行動に起こすこと、チームで対応することを掲げている。そしてセキュリティインシデントとは想定外の事態が起きうるため創意工夫や挑戦を続ける姿勢も大事ということだ。

次のページ
CSIRTが持つべき役割、それぞれ何をするか、どこからスカウトするか

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8576 2017/11/10 12:04

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング