はじめに
こんにちは。テクノロジー戦略本部CTO室の内田です。 私は2023年12月に中途入社しました。現在はセキュリティグループのグループマネージャー職を担っており、「プロダクトセキュリティ」や「社内の情報セキュリティ」といったテクニカル・ガバナンスの両面から全社リスクマネジメント対応を推進しています。
今回は、一連のセキュリティ業務の中で内製で組成した緊急事態対応チーム「社内CSIRT(シーサート)」の構築ノウハウを記載します。 BuySell TechnologiesのTech Blogとしては「初」のセキュリティ領域の発信となりますが、セキュリティ対応をされている方にとって少しでも「気づき」となれば幸いです。
概要
CSIRTとは、Computer Security Incident Response Teamの頭文字を取ったものです。 具体的には、特に情報漏えい・システム改ざんなどのセキュリティインシデント(事故)またはその疑いのある事象が発生した際に主体的に動く有事対応チームを指します。 昨今、サイバー攻撃が高度かつ巧妙になっている状況であり、有事の際に自社で主体的に動ける組織の重要性や注目度が増しています。ただ、CSIRT組織の整備・運用を開始できている企業がある一方で、現実的にはノウハウや人員不足で未整備の企業も多いと認識しています。
課題・背景
BuySell Technologiesにおいてプロダクトを含むセキュリティ強化は従来より進めていましたが、有事対応領域(CSIRT構築)についての構築ノウハウや手順整備などについては課題を抱えていました。 また、従業員数や売上高の増加に加えてM&A等もあり、会社規模が拡大している状況に直面しています。会社が成長過程にあるが故に、取り巻く状況がここ数年で劇的に変化していると誰もが感じていました。そのため、リスク対応を適切かつ優先度高く行っていくべきフェーズとなっています。
そのような背景もあり、喫緊の最優先事項として有事対応チーム(CSIRT)の構築をCTOより一任されました。自身の過去経験を活かし計画的に体制整備を進めることは重要ですが、もちろん社内の業務内容や文化に十分な理解・配慮をしつつセキュリティを浸透させる「業務とセキュリティのバランス感覚」も考える必要がある状況でした。
具体的なアプローチ
実現したいことのイメージはありつつ、提案書・企画書、もちろん手順書もない状況からのスタートです。 まず、CSIRT構築を推進する上で参考にしたのは、以下の公開情報です。
具体的な対応はCSIRTスタータキットの流れに沿い、そこでどのような判断をしたかを記載します。
STEP 0:CSIRT構築プロジェクトの立ち上げ(承認)
まずCSIRT構築の役員承認を得るために、構築提案資料の作成に着手しました。 提案資料は以下のように非常にシンプルな構成としました。
プロジェクト体制図はCTO管理のもと小職1名であるため、提案資料からは割愛しました。 また、今回は内製で対応するので、コンサルや導入支援サービスの費用はゼロと説明しました。
訴求するポイントを「なぜCSIRTを構築するべきか」と「どのようなメリットがあるのか」の2点に絞り、提案段階で細かくなり過ぎないように意識し承認をいただきました。
STEP 1:情報収集と現状把握・問題把握(素案作成)
CSIRT手順書を作成する上で記載すべき項目や流れは、CSIRTガイドの「6.3インシデントハンドリング」の部分を参考にしました。それを具体化する際に課題となりそうな部分を管理しました。
手順を文書化する上では、もちろん課題事項は出てきます。書けない部分は「課題管理」し、いつ誰に相談するかを明確にしましょう。この部分の課題解決手法は、各社で事情が異なる領域ですので100%確実なやり方はありません。課題解決のために上長に支援を仰いだり、公開資料を参考にするなどの工夫が必要です。
今回のCSIRT手順作成においては、会社として未知の領域であるため、素案や手順書の枠組みが決定していないと議論が進まないと判断し、素案を仮置きする形でCSIRT手順書の作成を優先しました。
STEP 2:CSIRT構築計画立案(具体化・実装)
本フェーズはSTEP1で仮策定した手順書が実態と合っているか、どうすれば実行できるか、現状とのギャップをどう埋めるかを検討・調整するフェーズとなります。
このフェーズでは各部の利害関係者との調整が必ず発生します。セキュリティを推進する立場として、やりがいを感じられる部分でもあり、調整が思うように行かずに悩んだり挫折しやすいフェーズです。また今回は役員の要望も発生したため、併せて調整を行いました。 課題や要望に対し、自社運用に馴染む形に調整しましょう。対応例を下に記載します。
今回は、CSIRT手順書で仮置きした部分に上記を盛り込み、叩きを完成させました。 その上で手順書のレビューなどを行い、自社の状況に合っているかの細かいすり合わせを進めました。
BuySell Technologiesでは、STEP2までの結果を盛り込んだ手順書を作成したことを根拠として、運用開始の承認を図る流れとしました。スモールスタートであるため、要望事項や改善事項が今後多々発生する想定です。 もちろん、課題がある状況で運用開始することに関しては様々なご意見があることは承知していますが、初めから完璧な手順書を作るのは経験上は困難と考えており、1つのマイルストーン(区切り)と判断しました。
結果・成果
改めてCSIRT構築の背景・意義、具体的な検討結果や成果物を役員が参加する社内の委員会で報告し、加えて実際に運用した後の改善にも重きを置いていることを正直に伝えました。
結論として、CSIRT運営開始について「承認」をいただきました。
何度か委員会で中間報告をする中で、当初「今必要な対応なのか?」という疑念や心配の雰囲気だったものが、徐々に「やってみよう、今のうちに整備しよう」という意識変化を感じました。最終的には自信をもって決議に臨めたことで、大変良い経験をさせていただいたと思いますし、支援やアドバイスをくれたCTOや関係者に感謝しています。
余談となりますが、承認を頂いた同時期である2024年6月は、KADOKAWA・ニコニコ動画のランサムウェア攻撃が広くメディアで報道された時期と重なります。委員会メンバーの間でも「サイバーリスクは経営・事業継続リスクと直結すること」が強く認識され、役員から「課題の対処をしつつ、しっかり動ける組織にしてください」との強い後押しをいただきました。
今後の展望
CSIRT構築はゴール(目的)ではなくスタートです。CSIRTを継続的に意義あるチームに磨き、育てる事が最も重要です。
まず、チーム名は王道では「BuySell CSIRT」ですが、ChatGPTからヒントを貰い「Aegis BuySell CSIRT」(仮)としました。 Aegis(イージス)はイージス艦をイメージされる方も多いかもしれませんが、その語源はギリシア神話における女神アテナが用いる防具(盾)の英語読みです。「強固な守りの組織にする」という願いを込めつつ、今後の社内浸透の観点ではABC-SIRTという語呂の良さが役立つかもしれないとの見立てで仮命名しました。
まだまだCSIRT体制としては産声を上げたばかりですが、本年(2024年)においては以下を計画しています。
- 社内周知およびCSIRT運営メンバーの教育
- グループ会社への説明とCSIRT担当者選出
BuySell Technologies本社としてCSIRT運用をしっかり回すことに加え、役員から強く要望されているグループ会社の巻き込みを実現し、今後もグループ全体としてのセキュリティ体制強化を推進する計画です。また、中長期のセキュリティロードマップにもCSIRT運用を盛り込み、セキュリティを取り巻く変化に柔軟に対応できるよう体制整備や対応手順書の改訂を継続的に実施します。
おわりに
最後まで読んでいただきありがとうございます。
今回は、BuySell Technologiesで課題感を持ちつつも実現できていなかったCSIRT構築・運用の役員承認に至るまでのノウハウやポイントを紹介しました。 読者の皆様におかれましても、経営層からの指示はあるものの、実際のCSIRT構築に苦労や悩みを抱えているセキュリティ担当者も多いと思います。自社のセキュリティ施策であるため、詳細までは公開できませんが、少しでもヒントや気づきとなるポイントがあれば幸いです。
セキュリティインシデントはいつ発生するか分かりません。しかし「備え」を行うことで顧客や会社の被害を最小限に食い止めることができます。これは実際の地震等の大規模災害に対する考え方と似ており、いざというときの対応が問われる領域です。今後もCSIRT組織の運用を進め、定期的な訓練等で形骸化を防止しつつ、実効性の高い組織を維持できるよう改善を続けて参ります。
最後に、BuySell Technologiesでは一緒に働く仲間を募集しています。 興味がある方は、ぜひご応募ください! herp.careers