CSIRTはミニマムで立ち上げることが成功の秘訣 情シスから法務まで部門横断型の組織でセキュリティ対策を行う「NetOne-CSIRT」

国内、国外を問わずセキュリティ事故が相次ぐ昨今、インシデントの発生に備えた組織体制を構築することの重要性が叫ばれている。セキュリティインシデントへの対応力を向上するための取組みの1つがCSIRT（Computer Security Incident Response Team）だ。CSIRTは組織のサイバーセキュリティを専門に扱う組織で、サイバーセキュリティインシデント対応をはじめ、事故の発生を念頭に置いた事前対策までを行うケースもある。

情報インフラの構築やICT導入等の事業を展開し、セキュリティソリューションの提供を行うネットワンシステムズ株式会社（以下、ネットワンシステムズ）は、2015年11月に自組織内のCSIRTとして「NetOne-CSIRT」を設置。情報システム部門や法務・CSR室もふくめ、広範囲の部門を横断する仮想組織をわずか5か月で立ち上げ、現在も運営している。「NetOne-CSIRT」を立ち上げた経緯と運用の秘訣を、同社 リスク管理室 エキスパート 福原 英之氏、同管理本部 法務・CSR室 室長 種田 匡毅氏に聞いた。

NetOne-CSIRTとしてインシデントの予防や社内研修を実施

お二人の担当業務を教えてください。

福原氏
もともと情報システム部門におり、業務の一環としてNetOne-CSIRTを主導していました。現在は2019年4月から新設されたリスク管理室で働いています。

種田氏
私は法務・CSR室の室長を務めています。法務やコンプライアンスの業務に加え、CSR活動としてISMS（情報セキュリティマネジメントシステム）の事務局を担当するなど、情報セキュリティに関わる業務にも携わります。

2015年11月から運用を開始されたNetOne-CSIRTでは、どういった活動をしていますか。

福原氏
ネットワングループ全体のCSIRTとして、子会社を含めたインシデントレスポンスを担当しています。サイバーセキュリティに関わる事象が発生したときに対応を取るのが一番の役割です。

またそもそもインシデントが起きないように、事前策を講じる役割も担っています。事案の発生を未然に防ぐ方法はいろいろありますが、教科書的に100点を求めていきなりすべての体制を整えるのは難しいため、できるところから優先順位をつけて対策しています。優先度がもっとも高いのは、システム上の問題解決です。見つけたら逐一対処する問題もあれば、中長期的な対策を取るものまでさまざまです。

根本的な対策として社員教育も行っています。ISMSやコンプライアンス教育の1つとして実施している、サイバーセキュリティについてのeラーニングがそのひとつです。

種田氏
新入社員研修でも、攻撃型メールを新入社員へ送って注意喚起を行う訓練を実施するなど、セキュリティ教育を図っています。

ミニマムにスタートし、5か月という短期間でCSIRT立ち上げを実現

NetOne-CSIRTは独立した組織ではなく、広範囲の部門を横断した仮想組織の形をとっていますね。活動はどれくらいの頻度で実施していますか。

福原氏
月1回、定例会で集まっています。活動計画や進捗状況の報告に加え、特筆すべきインシデント情報の共有などが主な議題です。また社内のリスクコンプライアンス委員会でも、半期に1回、役員クラスのメンバーに活動を報告しています。

そもそもNetOne-CSIRTの構築に取り組んだのは、どのような理由からだったのでしょうか。

福原氏
CSIRTを設置しようという声が最初に上がったのは2015年の第1四半期でした。当社がセキュリティビジネスに携わっているというビジネス上の理由からでしたが、国内における大型の情報流出事案も重なり、立ち上げの機運が高まったのです。

立ち上げの準備段階では関わる部署の検討を行い、情報システム、法務・CSRの担当者や、セキュリティのコンサルティングスキルを持つメンバーなどが名を連ねました。第3四半期に立ち上げを完了してからは、ISMSに取り組んでいたノウハウも参考に活動内容を詰め、経営委員会へ報告しました。

ISMSの活動によるノウハウのうち、特にどういったものが参考となりましたか。

福原氏
全社教育の方法や、セキュリティインシデントの受付手順などですね。すでにISMSによって社内に構築されていた仕組みや全社横断の組織作りを参考に、それをどうやってCSIRTに組み込んでいくかを考えました。

法務・CSR室ではCSIRTに関わる担当者をどのように決めたのでしょうか。

種田氏
立ち上げの準備段階における法務・CSR室の主な役割は、社内規程やISMSに関連する業務であることが見えていたため、それぞれについて担当していたメンバーをアサインしました。どの程度の負荷がかかるのか予測がつかず、その点で多少の懸念はありましたが、関係者間で連携を取ることで、それほど大きな負担となることなく進行することができました。

NetOne-CSIRTの活動はどのようにスタートされましたか。

福原氏
絶対に取り組まないといけないこととして、社内規程の整備に着手しました。2カ月で作りあげたスピード感は自慢したいですね（笑）。

種田氏
福原をはじめとした情報システム部門によるドラフトを法務がチェックする流れで、規程の作成を進めました。通常の規程レビューと比べて苦労したのは、参照する資料が少なかった点です。普段の社内規程のレビューでは参考にできる情報がありますが、CSIRTの立ち上げに対応した情報はありませんでした。そのため、CSIRTのメンバーに直接話を聞いて組織全体の希望を把握しながら書き方を検討していきました。

社内規程を整備するうえで特に悩ましかった部分はありましたか。

種田氏
ほかの規程類との整合性です。ISMSのドキュメント体系との一貫性のとり方などに、検討の時間をかけました。

福原氏
セキュリティ上の事前対策として、社内システムの導入は情報システム部門に限ることなども社内規程に定め、CSIRT立ち上げ後に徹底を図りました。現在、新たなシステムを導入する際は、情報システム部門と法務部門で協力して契約書や利用規約の内容をチェックしています。CSIRTがリードし、情報システム部門に仕組みができた好例ですね。

社内規程の整備に時間をかけながらも、発足を合計5カ月で行われるなど、かなりスピーディーに立ち上げられた印象です。その要因はどこにありましたか。

福原氏
しっかりと機能するISMSの仕組みがあったことや、社内にセキュリティに長けた人材がいたことがあります。加えて、経営層からトップダウンで「やりなさい」と言ってもらえたことが大きかったですね。取り組むと決めてからは「いつまでも時間をかけてもしょうがないから、早く立ち上げよう」と、どんどん推進していきました。

また立ち上げ当初は、受け身の活動だけからはじめました。なにか事象が起きたときに報告を受け付ける窓口を設置して、それに対応するところからはじめる、というミニマムな形です。同時並行で、プロアクティブに課題を「見つける」ための仕組みを準備し、第4四半期の終わり頃に整備しました。以降は、課題発見に関するソフトウェア的なアルゴリズムや、効率よく対応するための仕組みなどを策定しています。

CSIRTでの情報共有により、法務部門のセキュリティ事案対応も迅速化

窓口を設置して以降、社内からの相談はありましたか。

福原氏
すぐにありましたね。よく届くのは「フィッシングメールが届いた」といった報告です。相談があると、まずはシステム、セキュリティの担当者を中心としたコアメンバーが対応します。CSIRTの活動自体は法務・CSRといったほかのメンバーも了知でき、いつでも連携できる体制をとっています。

NetOne-CSIRTはCIO/CISOから権限の委譲を受けており、インシデントが起きた際は社内ネットワークの停止などの対応をCSIRT自身の判断で行えることとなっていますね。

福原氏
CSIRTとしてどこまでの権限をもつのかは準備段階から議論しました。本気で取り組む以上、権限移譲がないと実態として動けないですし、自分がCSIRTの主導を引き受けるのであれば権限がないと嫌だよ、と伝えました。CSIRTの判断で対応した際は、事後的にCIO/CISOへ報告を行うことを定めています。

法務部門として、平時からCSIRTへ関わることによるメリットはどのように感じていますか。

種田氏
大きなインシデントがあった際はどこの会社でも法務部門が関わると思いますが、当社ではCSIRTの活動があることで、常日頃からセキュリティに関わる話が共有されており、大きな事象が起きたときにも内容が具体的に想像できます。そのため対応の道筋が立てやすいです。起きた事象の内容を知るための時間的なロスも少なく済んでいます。

福原氏
日頃のコミュニケーションがとれているため、逆にコンプライアンス部門に入ってきた通報がサイバーセキュリティの内容だった場合に、情報システム部門へ共有されることもあります。同じ会社なので協力体制というのは変ですが、各部門の得意分野の連携が、うまくできていると思います。

CSIRTでは評価指標を定めず、1つ1つの事象に対応

CSIRTの活動についてはどのように評価指標を定めていますか。

福原氏
評価指標はないほうがいいと思い、定めていません。指標を作ってしまうと、その達成を目的とした活動になってしまうんですよね。また、たとえば「事前対策を行うことによるインシデント報告件数の低減」を指標に置いたとして、会社の風通しが悪くリスクに気がついても言い出しづらいがために相談件数が減っていたとしても、評価することになってしまいます。社内からきちんと相談が出ながらも、本質的な原因の解決によって相談件数が減っている、ということまできちんと測れる指標であればいいと思いますが、それを定めるのはかなり難しいでしょう。

1つ1つの事象に対応していくと、おのずと成果は生じます。はじめから必死に目標を置かなくてもいいんじゃないでしょうか。目標の設定が必須ではないという意味でも、NetOne-CSIRTは専任組織でなく仮想組織でよかったですね。

明確な指標は定めず、集まった相談へ真摯に対応することを重視されているのですね。まず社内から相談が寄せられるためには、なにが大切だと考えられますか。

福原氏
時間だと思います。NetOne-CSIRTの立ち上げより2年ほど経った頃から、社内に存在が浸透してきたように感じます。それと繰り返し情報を発信することですね。まず窓口があることを知ってもらわないと、相談が集まりません。

CSIRTが対応すべきか迷うような相談がくることもあります。ですがそれは相談者からするとほかに持ちかける窓口がなかったということだと思うので、拒むことなくきちんと受け取るようにしています。

CSIRT立ち上げは65点で合格ライン

CSIRTの立ち上げを成功させるポイントはありますか。

福原氏
CSIRTのメンバーとは「おそらく苦労は尽きないけれど、ないよりあったほうが100万倍いいんだから、頑張りすぎない範囲でまずやろう」と話しています。

まずは100点ではなく80点でもやってみるということですね。

福原氏
80点なんかぜんぜん目指さないです。65点で合格ライン、万々歳です（笑）。リアクティブな活動からはじめたのも同様の考えからですね。これからCSIRTの立ち上げを考える会社さんも、まずは小さくはじめたほうがスムーズに進むと思います。

CSIRTは判断を行う脳みそであり、情報収集やネットワーク等の監視は、SOC（Security Operation Center）という別の組織が担います。そのため、NetOne-CSIRTは脳みそとしての機能に集中した、基本的な組織設計としました。SOCの役割は社外に出したり、システムを買ってきたりすることもできます。CSIRTは社員や外部からの情報を受け取る窓口としてスタートするのがミニマムでいいのではないでしょうか。

またCSIRTはあくまでも自社、自組織のなかで役割を決めるものなので、こうあるべきというものではなく、こうしなきゃいけないと言われるものでもないと思っています。会社ごとに役割を決めることが大事ですし、NetOne-CSIRTもあくまで1つの例として参考にしていただきたいです。

種田氏
当社では以前から福原がビジネスデベロップメントに関わっており、契約交渉の素地をもっていたのでドラフトの作成を行いましたが、情報システム部門にそうした業務に慣れている担当者がいなければ、法務部門が作成していたでしょう。進め方や作業分担も、あくまで当社ではこうした、ということです。

NetOne-CSIRTの活動について、今後の展望はありますか。

福原氏
自律的に動けるよう育てていけたらと思います。あとは継続していくことですね。

種田氏
法務部門の担当としては、CSIRTのなかで情報システム部門とうまく連携することが、法務としての役割を果たすことにつながっていくと思っています。引き続き、社内の関係部門と連携を密にすることを重視したいです。

日頃から部門を超えたコミュニケーションを図っていくことが、法務部門としてのバリューを発揮することにつながるのですね。本日はありがとうございました。

（取材・構成・文・編集：BUSINESS LAWYERS 編集部）