ライフネット生命が全部門参加型CSIRTで進める「全員主役」のセキュリティとは

サイバーセキュリティを、システム部門だけの課題として扱うことは難しくなっている。事業継続や顧客接点に直結する以上、経営課題として向き合う必要があるためだ。とはいえ、全社員が当事者意識を持つ体制を実際につくり上げるのは難しいのではないだろうか。

6月8日～9日開催の「TECH+フォーラム IT×OTセキュリティDays 2026 Jun. 事業を止めないセキュリティ」に、ライフネット生命保険 執行役員CISO兼CCOの萩原康裕氏と、同社 IT戦略部 マネージャーの廣瀬直行氏が登壇。全22部門が参加するCSIRTを通じて、同社が「全員主役」のセキュリティをどのように実現してきたのかを語った。

システムダウンは顧客接点の喪失に直結する

萩原氏はまず、自社のビジネスの特徴を振り返った。ライフネット生命は2008年に開業し、死亡保険や医療保険、がん保険など保障に特化したシンプルな商品を、主にオンラインで販売している。社員数は約250名。全国的な営業拠点を持たず、オンラインで生命保険を売るモデルを開業時から手がけてきた。

このビジネスモデルは、情報セキュリティの観点から見るとメリットとデメリットの両方を持っている。メリットは、営業拠点がないので物理的なリスクの考慮が少なくて済むこと、システムがコンパクトなこと、取引がデジタルで完結するためデータの観測や分析がしやすいことだ。約250名という規模も、決して大きすぎず、組織全体のセキュリティ意識を高めやすい。

では、デメリットは何か。同社のビジネスモデルの場合、Webサイトが会社の顔そのものになる。システムダウンは単なるITの不具合ではなく、顧客接点の喪失だ。それはすなわち、ビジネス全体が停止する恐れがあることを意味する。また、生命保険は終身型の保険に代表されるように、長期間にわたって契約を管理する必要があり、極めて高い堅牢性が求められる。オンライン型の場合、顧客にとっては24時間×365日のサービス提供が当たり前であり、顧客体験への期待値も高い。こうした環境では、万が一のセキュリティ事案が会社の評価や信頼に直結する。

「サイバーセキュリティは、システム部門だけが気にすればいい課題ではなく、事業を根底から揺るがす経営課題そのものです」（萩原氏）

インシデント対応は全部門の連動なしに成り立たない

事業を守るには全社員が当事者になる必要がある。そう考えてたどり着いたのが、全部門参加型CSIRT（Computer Security Incident Response Team）という体制だった。

• 

  ライフネット生命におけるCSIRTの体制

全部門参加型CSIRTは、独立した専門部署ではなく、社内を横断する仮想的なチームだ。全22部門からメンバーを選出し、システム部門だけでなく、経営企画、法務、広報、顧客対応、営業など、あらゆる立場のメンバーが参加する。

ここで中心となるのが、有事の際に実際に影響を受ける部門で構成するCSIRTメンバーだ。萩原氏はこのポジションには部門長クラスを充てていると説明する。その理由は、実際にサイバーセキュリティ事案が起きた場面を想像すると分かりやすい。

インシデント時、まずはシステム部門が影響範囲の特定や復旧を急ぐ。加えて、顧客対応部門は個々の顧客への影響を確認し、個別対応の準備を進める。営業部門はビジネスパートナーとやり取りする。広報部門は対外公表の準備に入るが、どのタイミングでどこまで公表するか、風評リスクを抑えながらの難しい判断を迫られる。総務部門は被害状況によっては警察とのやり取りが生じ、法務部門はこれら全てのアクションの法的な裏付けを確認する。経営企画部門は監督官庁とのやり取りを行いつつ、ビジネス全体へのインパクトを見据えなくてはならない。

これらの判断とアクションが、CISOのリーダーシップとCSIRT事務局の調整の下で、互いに矛盾することなく連動しなければならない。しかも、全てに瞬時の判断が求められる。現場を知り、高い判断力を持つ部門長クラスをこのポジションに充てるのは必然と言えるだろう。

一般的に「自社のCSIRTを全部門参加型にしたいが社内の理解を得られない」という声も多くあるが、萩原氏はそうした場合、マネジメント層も巻き込んだリアルなシナリオでの演習を勧める。インシデントはわずかな異常の発見から始まり、情報が増えるにつれて影響範囲も対応部門も広がっていく。多くの部門が迅速かつ柔軟に動かなければ復旧できないことを演習で体感すれば、マネジメントの意識も変わってくるためだ。

「やらされる」から「自ら守る」へ意識を変える

閉じる

全部門が参加する体制は、平時にも価値を発揮する。萩原氏が挙げるのは次の3つのメリットだ。

第一に、セキュリティの「自分ごと化」である。全従業員が当事者意識を持つことで、「やらされるセキュリティ」から「自ら守る自律的なセキュリティ」へと文化が変わる。

第二に、毎月のCSIRT定例会など高い頻度でセキュリティ業務に関わるうちに自然と意識も知識も高まり、セキュリティが全社共通の「公用語」になることだ。

第三に、業務を最も理解する現場のメンバーが主体となることで、有事にも柔軟で迅速に動ける即応力が生まれることである。

では、こうした体制をどう築けばよいのか。同氏は3つのポイントを示した。

1つ目は、経営層の後押しだ。全社的な活動としての正当性を担保し、現場が迷わず動ける環境をつくるには、トップダウンの推進力が欠かせない。ただ、ここは堅苦しく考えなくてよいとも話す。

「世の中で発生しているサイバー攻撃の話をマネジメントに共有するだけでも、『当社で発生した場合はどうなるんだ』『準備は整っているのか』と、意識は明らかに変化してきます」（萩原氏）

2つ目は、スモールスタートによる成功体験の積み重ねである。最初から完璧な体制を目指す必要はなく、単発の取り組みからでも構わない。

3つ目は、メンバーの前向きな取り組みだ。堅苦しいルールを整えるのではなく、楽しく学べて成長を実感できる環境を用意し、自発的に取り組むモチベーションを育てる。これが最大の原動力になるという。

現場のメンバーが講師となり研修を自分ごとにする

ここからは、現場での運営を担う廣瀬氏が具体的な取り組みを紹介した。現場の主な取り組みとして廣瀬氏が挙げたのが、月次定例会、実践的研修、標的型攻撃メール訓練、社外の合同演習への参加の4つだ。廣瀬氏は、このうち自分ごと化に直結する研修とメール訓練を掘り下げた。

• 

  CSIRTの主な取り組み

ライフネット生命のセキュリティ研修の特徴は、受講者が自分の問題として受け止められるよう工夫されている点にある。全社一律のeラーニングは、面倒な他人事と捉えられ、後回しにされがちだ。そこで同社では、各部門のCSIRTメンバー自身が講師となり、部門ごとに開催するかたちにした。教材は事務局が用意するが、各部門が自分たちの業務に合わせてカスタマイズできる。顧客情報を扱う部門なら情報管理の講義を手厚くし、過去に自部門で起きたインシデントを共有するといった具合だ。少人数で集中でき、内容も業務に直結するものであるため、当事者意識が高まる。

講師を務めたメンバーへの事後アンケートでは、「準備が大変だった」「説明や質問への対応が難しかった」といった苦労の声が挙がることもある。だが同時に、「教えることが自分自身の学びになった」「研修中に多くの質問が出て参加者の意識の高まりを感じた」という前向きな回答も寄せられているという。廣瀬氏はこれを、当事者意識が高まり講師の学びにもなる一石二鳥の効果だと話した。

標的型攻撃メール訓練にも、同じくCSIRTメンバーが関わる。同社では、世間で流行する攻撃メールの傾向に加え、各部門の業務に即した文面を選べるようにしている。例えば、人事の採用担当部門なら採用公募を装ったメール、財務部門ならビジネスメール詐欺を想定したメールといった具合だ。送信日時も部門ごとに調整し、繁忙期や不在日を避けることで訓練の形骸化を防ぐ。当初はCSIRTメンバーに文面の選択や日時の決定を依頼していたが、最近では「こういう文面にしたい」、「部門内でも文面を出し分けたい」と、CSIRTメンバー自らがアイデアを出すようになってきたそうだ。

「企画段階から関わることで、各部門が主体的に取り組む意識が高まっています」（廣瀬氏」

「楽しく学ぶ仕組み」が自発的な活動を広げる

こうした活動を支えるのが、知識の裏付けと、楽しく学ぶ仕組みだ。全部門のCSIRTメンバーには情報処理推進機構（IPA）の情報セキュリティマネジメント試験の合格を義務付けており、全従業員の約15%にあたる38名が合格している。全部門に有資格者がいる体制となり、非システム部門からも上位資格の合格者が出ているという。当初は受験のハードルが高かったが、当時の役員が率先して受験し重要性を広めたことで定着した。

楽しく学ぶ文化を象徴するエピソードがある。定例会で、IPAが提供する「ABCSIRT」というゲーム形式の訓練を実施したところ、参加したメンバーの1人が「自部門のオフサイトミーティングでもやってみたい」と廣瀬氏に相談してきた。インシデント対応を体験できるこのゲームを、自部門にも広げようとする自発的な動きが生まれたのだ。

「セキュリティを、やらされる面倒なルールとしてではなく、自分たちも考えなければいけない身近なテーマとして捉える。そんな自分ごと化の意識が、現場レベルまで浸透してきていると感じます」（廣瀬氏）

その後、別の部門からも同じ声が上がり、新入社員が体験する機会も設けられたそうだ。

CSIRTは仮想組織ゆえに本業との両立という課題はある。だからこそ、CSIRT活動を人事評価に組み込み、貢献が報われる仕組みやキャリアパスを設計していくことが、今後の持続的な運営に向けて欠かせないと廣瀬氏は述べた。一方で、現場の知見がセキュリティを強くし、セキュリティの思考法が自部門の業務改善につながる相乗効果も見えてきたという。

最後に萩原氏が強調したのは、全部門参加型CSIRTはあくまで手段に過ぎないということだ。真の目的は、全社員がセキュリティを自分ごととして捉えることにある。「本日の事例が組織改革のヒントになれば」と述べ、同氏は講演を締めくくった。