巧妙化するサイバー攻撃、複雑化する法規制、絶え間なく変化するIT環境——現代の日本企業が直面するセキュリティ課題は日々増大している。「インシデントは突然起きる」という現実のなかで、企業はどのようにして効果的なセキュリティ体制を構築すべきだろうか。

2月25日~27日に開催されたウェビナー「TECH+ フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」において、ディー・エヌ・エー(以下、DeNA) IT本部セキュリティ部/DeNA CERT Security Coordinatorで日本シーサート協議会 副運営委員長の渡辺文恵氏は、組織の壁を超えた「コミュニティの力」を活用した実践的アプローチを提案した。DeNAのCSIRT(Computer Security Incident Response Team)であるDeNA CERT構築の道のりと日本シーサート協議会での活動を通じて見えてきた、持続可能なセキュリティ体制の姿とは。

インシデント対応の要、CSIRTとは

企業においてセキュリティ対策は、企業価値と顧客信頼の保護、法令遵守、業務継続性の確保など多くの観点から重要である。しかし、どれだけ対策を行っても、インシデントが発生する可能性はゼロにならない。インシデント発生時の対応が属人的になったり、ノウハウの共有が難しかったりする課題を解決するために、組織的な対応体制としてCSIRTが求められている。

「CSIRTは、コンピュータセキュリティに係るインシデントに対処するための組織の総称で、インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集分析し、対応方針や手順の策定などの活動をする」と渡辺氏は説明する。ただし、CSIRTにはフレームワークはあるものの規格はなく、実装形態も決まっていない。組織ごとに最適なかたちを検討する必要があるのだ。

草の根から公式チームへ - DeNA CERTの進化の軌跡

DeNAは2010年、スマートフォンサービスへの転換期でサイバー攻撃が増えていた時期に、セキュリティ対策チームを有志活動として発足させた。品質保証、情シス、インフラ、経営企画などのキーマンを集めたワーキンググループのようなかたちだったという。その後、外部連携の重要性からインフラ部門を中心にDeNA CERTが立ち上がった。2014年には新たにセキュリティ部が設立され、そこにDeNA CERTが加わり、公式の組織として活動をスタート。セキュリティポリシーにもDeNA CERTの役割が明記され、組織的に認められたかたちで活動が再開された。現在DeNA CERTはIT本部に設置されている。

DeNAのセキュリティ部では、会社のミッション「一人ひとりに想像を超えるDelightを」に合わせて、部門独自のミッション「セキュリティをコントロールし、世の中に届けるDelightに、安全・安心という付加価値を提供する」を掲げている。渡辺氏は「セキュリティ体制を構築するには、組織にマッチしたミッションが必要」だと強調した。

「正解はない、自社に最適なかたちを」 - CSIRT構築の実践ロードマップ

CSIRTのサービス(役割)には、インシデントマネジメント、イベントマネジメント、脆弱性管理、状況把握、知識移転の5つのサービスエリアがある。

  • CSIRTのサービス

渡辺氏は「全てやらなければならないというわけではなく、自組織でやるべき役割を担えばよい」と説明する。DeNAでは、情報収集・社内告知・インシデントハンドリングからスタートし、必要に応じてやるべきことや人員を増やしてきたという。

  • DeNA CERTのサービス(活動内容)

CSIRT構築の手順としては、現状把握・分析、計画立案、ミッション・行動指針・範囲・責任・権限・体制の決定、リソースの確保、インシデント分類・対応フローの決定、組織内の体制構築と調整、社外連携体制の設定、演習・訓練・トレーニングによる品質向上、セルフアセスメントと見直しのサイクルを回していくことが重要だという。

  • CSIRTの構築手順

CSIRTの形態は、経営層直下の場合、専門部署を設ける場合、部署横断の場合などさまざまだが、同氏は「その組織にとって最適なものを選択するのが大事」だと強調する。

  • CSIRTの形態の例

DeNA CERTの場合は、専門部署があり、さらに関連部門と連携する部署横断型の体制を採用している。

  • DeNA CERTの体制

セキュリティ担当者が直面する壁と突破口

CSIRTを取り巻く課題としては、経営層の理解、人材・リソースの継続確保、組織の変化に伴う対応などがある。特に経営層については「表面的には理解されているが、具体的な対策や、リソース配分の議論が難しい」という課題があるという。

対策として重要なのは以下の点だ。

  1. プレゼンス向上: 予算/リソースを継続確保するためにも必要
  2. 活動成果の見える化: 平和で当たり前と思われがちな対策の効果を示す
  3. 経営層とのコミュニケーション: 日々の活動や社会情勢、リスク分析を共有
  4. 心理的安全性の醸成: ミスを報告できる風土づくり
  5. 演習・訓練の実施: インシデント発生時に迅速に対応するための準備
  6. 定期的な見直し: 目標を設定し、振り返りのサイクルを回す

ともに成長するコミュニティの力

渡辺氏が最も強調したのは、コミュニティの活用だ。日本シーサート協議会などのコミュニティに参加することで、情報収集・共有、知見の獲得、人脈形成、対策の客観的評価などが可能になる。

「会社のなかで理解されずに孤独感を覚えてしまうこともありますが、同じ課題を持つメンバーと集まることで安心感が得られ、精神衛生的にも良い効果があります」(渡辺氏)

日本シーサート協議会にはさまざまな業種の組織が参加しており、異なる業種の事例を知ることができるほか、競合他社とも情報交換できる場となっている。「経験や知識の大小に関係なく平等に話し合いができる」ことが最大の魅力だという。

DeNAでは、メンバーが業務に関連するワーキンググループに参加したり、若手は外部トレーニングに参加したりと、積極的にコミュニティを活用している。日本シーサート協議会では初心者向けのCSIRTのはじめ方から、中上級者向けのトレーニングまでさまざまなプログラムが用意されている。

  • DeNAにおけるCSIRTのトレーニングメニュー

渡辺氏は講演の締めくくりとして「コミュニティに参加して、皆でパワーアップしましょう」と呼びかけた。セキュリティ担当者が孤立せず、ともに学び、成長していくことの重要性を強調した講演であった。