週1回は社長の青野氏とミーティングも

一方、「セキュリティ室」が発足したのは2017年である。実は2013年に「日本シーサート(CSIRT)協議会」に加盟していたものの、当時はPSIRTのメンバーが、「インシデントがあったら対応する」という形で兼任していた。明尾氏は、「兼任で対応していると、社内教育や社内システムのメンテナンス、情報発信がおろそかになってしまいます。ですから、社内のセキュリティ体制強化を目的に、CSIRTを独立させました。といっても、自分を含めて2人のチームですが(笑)」と説明する。

現在のCSIRTの業務は、従業員セキュリィ意識向上を目指した社内教育のほか、社内向け相談窓口の設置、PSIRTとは別のペネトレーションテストの実施などだ。従業員に対する相談窓口を設置したことで、「システムを構築したいが、セキュリティの観点から問題がないか」といった問い合せも受けられるようになった。また「断片的に対応し、必要に応じてルールを追加する」といったこれまでの運用を体系化し、運用フローを可視化できたという。

「CSIRTで実施していることは、(IT企業ではない)一般企業と同じです。例えば、個別PCに導入しているウィルス対策ソフトの定期的なアップデートを徹底してもらったり、(社外の)クラウドサービス利用に関してセキュリティの観点からアドバイスをしたりといった業務です」(明尾氏)

セキュリティ対策の運用を体系化したことで、標的型攻撃に対する訓練や、情報漏洩が発生した場合の報告フロー(誰に連絡し、どのタイミングで顧客に伝え、株主に対して何を報告するのかなど)のシミュレーションも実施できるようになった。さらに、内部者による情報の不正持ち出しが試みられた場合にも、水際で阻止できるような対策を講じているという。現在はクラウドに特化したセキュリティに関する第三者認証「ISO/IEC 27017」の取得も視野に入れている。

今、最も留意しているのは「経営的な視点からセキュリティを鳥瞰すること」だと明尾氏は語る。毎週1回は代表取締役社長の青野慶久氏とミーティングを持ち、CSIRTが課題と感じていることを経営的な視点から理解してもらう。そして、青野氏と対話しながら、課題の深刻さ(リスク)と解決の優先順位を決めていく。「セキュリティ担当者と経営者が課題を共有することで、会社にとって何がセキュリティリスクなのかを把握できる」とのことだ。