情報漏えいや不正アクセス、ランサムウェア感染といったセキュリティインシデントが相次いで発生していることを背景に、CSIRTの構築に取り組む企業や組織が増えている。
CSIRTの主な役割は、平時はセキュリティインシデントが起こらないようさまざまな対策や情報収集に努め、万一、事故が発生した有事には初期対応に当たることだ。ただ、CSIRTの活動には定義があるわけではなく、これまで構築してきたセキュリティ運用体制や組織、業務プロセスに応じて、それぞれの企業や組織なりの最適な姿を模索しているのが大半ではないだろうか。
そんな「CSIRTブーム」が起こる前から、全日本空輸(ANA)グループのCSIRT、「ASY-CSIRT」では、CSIRTで果たすべき役割の定義や人材育成を同時に進めながら、徐々に現在の形を作り上げてきた。現在、十数名の社員を中心に、必要に応じて情報システム部門と連携しながら対応している。
ANAグループは以前から、全社的なリスク管理の一貫としてセキュリティ対策に取り組んでおり、ASY-CSIRTを中核に約40社に上るグループ企業も含めた対策を推進している。
ASY-CSIRTを率いるANAシステムズの阿部恭一氏(品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRT)は、「物理的なセキュリティや警備を除いて、セキュリティに関することは全部やっています」と話す。
セキュリティ分野の人材不足が叫ばれる中、ASY-CSIRTでは、どのように増え続けるセキュリティニーズに対応し、人材のやりくりをしているのか。阿部氏に話を聞いた。
少ないリソースで法令順守から詐欺対策まで手掛けるための工夫
一般的なCSIRTというと、インシデントレスポンスを中心に、情報セキュリティに関連するサービスを提供するチームというイメージが強いが、ASY-CSIRTのサービス範囲は実に幅広い。
1つ目は法令対応だ。改正個人情報保護法やGDPR(General Data Protection Regulation:EU一般データ保護規則)をはじめとするさまざまな法令に関連して、「規約やポリシー、ガイドラインをどのように変更し、どのようにシステムを作らなければならないかを検討し、対応しています。このように法律対応も詳しくやっていることに特徴があります」と阿部氏は言う。
2つ目の領域は、詐欺・不正行為の対策だ。ANAのマイレージクラブでは、金銭に準じた価値を持つ「マイレージ」を扱っており、それを狙った詐欺や不正利用が後を絶たないという。「CSIRTの領域というよりもクレジットカード詐欺対策に近い部分ですが、ANAとして事業を展開している以上、不正利用する輩をどう捕まえ、防止するかも考えていかなければいけません」(阿部氏)
しかも近年、マイレージは、クレジットカードや他の交通機関、オンラインショッピングなどさまざまな業界のポイントと連携し、交換できるようになっている。このため「単独の会社ではなく、複数の業者と提携して捕まえていかなくてはいけません。そこで2016年から、警察やJC3(Japan Cybercrime Control Center:日本サイバー犯罪対策センター)をハブにして関連する事業者が集まり、情報交換しながら、不正利用を未然に防ぐ取り組みを進めています」という。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia 総合記事一覧で全文を見る
0 件のコメント:
コメントを投稿