はじめに
こんにちは。テクノロジー統括本部CTO室の内田です。
私は2023年12月にバイセルへ中途入社し、現在セキュリティグループのグループマネージャーを務めています。主な責務は、「プロダクトセキュリティ」と「社内の情報セキュリティ」の両面から、全社およびグループ会社を含めたリスクマネジメントを推進することです。
2024年 ~セキュリティ対策推進~
バイセルではセキュリティ面の対応指標・可視化について、Secure SketCH(セキュアスケッチ)というセキュリティ評価サービスを利用しています。入社後の2024年はセキュリティ面の対応指標の可視化や改善に主に取り組んできました。詳しくは、過去の記事をご参照ください。
2025年 ~有事対応領域の整備推進~
2025年はさらに視野を広げ、自社に限定した対応ではなく「グループ会社全体の情報セキュリティ統制」に取り組んでいます。本記事では、グループ全体の統制対応の1つである「有事対応領域(グループCSIRT構築対応)」の取り組みを振り返り、さらには現行課題やCSIRT(シーサート)の未来についての構想を記載します。
なお、本記事ではバイセルグループ全体のセキュリティ戦略に関わる内容を含むため、詳細情報の記載を控えさせていただく部分があることをあらかじめご了承ください。
概要・背景・経緯
はじめに、なぜCSIRTを立ち上げるのか、その背景から説明します。2020年代になり、バイセルは業績拡大のフェーズに差し掛かり、従業員数や売上高の増加が顕著でした。加えてM&A推進も重なり、グループ全体のリスク統制対応が経営上の重要な課題として意識されるようになりました。
一方、情報セキュリティの観点では、プロダクト開発を担うテクノロジー部門においてSecure SketCH(セキュアスケッチ)ツールを利用したセキュリティ評価の仕組みを導入し、セキュリティの「対応状況」や「成熟度」の可視化を進めていました。その中で、「有事対応」と呼ばれるカテゴリーは前任のセキュリティ担当者のころから対応が進んでおらず、2023年末の段階で有事対応カテゴリーの点数が低いと判定されていました。
このような背景があり、リスクマネジメントの最優先事項として有事対応チーム(CSIRT)の構築をCTOより一任されたことが経緯となります。入社当時を思い出すと、経営直下の組織で情報セキュリティを推進する立場であったことが嬉しく、「必ずやり遂げる」というポジティブな気持ちだったと記憶しています。
具体的な対応
STEP 1:CSIRT立ち上げ期(2024年4月~)
CSIRTの立ち上げは、まさにゼロからのスタートでした。コンサルも使わず、Web公開されている資料を参考にしつつ、バイセルに合うようなCSIRTモデルを模索しました。このあたりは過去の記事を参照いただきたいです。
ポイントは以下の通りです。
①経営承認
構築の前提、第一歩はCSIRT組織を作ることの承認です。何をしたいのか?現在会社がどのようなリスクがあるのか?スケジュール感は?などの一般的な5W1Hの手法に沿って情報を伝えれば、この段階ではさほど困難な状況には至らないと考えています。加えて今回は、「経営からの要望であったこと」、「内製構築のため外注コストがかからない」部分も伝え、承認を頂きました。本来は「どのような未来」が描けるか等、具体的なイメージを伝えるべきですが、今回は割愛しました。
②CSIRT手順書の作成
JPCERTのCSIRTガイド(PDF)や、日本シーサート協議会(NCA)のCSIRTスタータキット(PDF)がベースの情報になるかと思います。これらを参考に自社向けのCSIRT手順書を作成しました。その中で「現状分析(情報収集)」「計画立案や定義」「対象範囲(自社の対応範囲)」など、即決できない調整事項が多々発生しました。組織・状況に合わせてカスタマイズすることは言うのは簡単ですが、実際は関係部門への説明なども多く発生し、専任担当であっても時間を要するので挫折しやすいポイントではないかと思います。課題事項や調整事項は一覧表で管理するのがポイントです。(以下イメージ)
③報告基準の作成と連絡フローの整備
次に手順書に沿った運用を行うための具体的なシナリオをイメージします。「どんなインシデントを検知・報告すべきか」「どこに報告すべきか」「報告を受けた後は何をすべきか」など、基準や対応フローを明確化することが重要です。プライバシーマークを取得されている企業様であれば、PMS文書の中に「緊急事態発生時の対応手順」を整備していると思います。CSIRTも同じですので、PMS文書に沿った(一元管理の思想を軸とした)統一感のある対応フローを作成することをお勧めします。
④完璧な手順書を目指さないこと
これは少し異質に思われるかもしれませんが、初期構築の手順書や報告基準について、完璧なものを作るのは不可能です。インシデントには様々なパターンがあります。自社の組織も変わります。システム環境や業務環境も変わります。このような多様性や変化を考えず、変に手順書を作り込みすぎてしまうと、実態との乖離が生じ、修正作業が煩雑になります。過度に整備しすぎない「スモールスタート」の形を推奨します。課題は課題として管理し、手順書を定期的にアップデートすることを前提にするのが良いでしょう。
STEP 2:CSIRT拡大期(2024年11月~)
バイセル本社向けのCSIRT構築状況を報告する中で、経営陣から以下の発言がありました。 「リスク対応を一歩一歩進めるのは大事だね。ちなみに、これって本社だけでいいの?」
考えてみれば当たり前なのですが、「本社だけでは不十分」が答えです。もちろん未来像(理想形)として頭の中でグループ巻き込みを描いていたのは事実ですが、順を追って対応することに執着していたこともあり、上記の指摘につながったのかもしれません。
結果として、その場で「グループCSIRTの構築を進めます」と約束したという流れとなります。 振り返ってみると、リアルなやり取りに思えてきました。
そのような流れがあり、本社向けの体制・手順書整備に加え、2020年にグループジョインした「タイムレス社」、2022年にグループジョインした「フォーナイン社」も先行してCSIRTの対象にすること、さらには「日創社」「むすび社」、加えて、2024年にM&Aでグループジョインを発表した「レクストホールディングス社」も順次CSIRTに巻き込んでいく流れとなりました。
このような拡大局面においては、グループ統制対応と紐づけた過去の記事がありますので、参照いただきたいです。
CSIRTのグループ巻き込みの学び・ポイントは、以下のとおりです。
ただ振り返ってみると、グループCSIRTの構築においては、各社への説明の場を作ることにかなりの時間を割いたのは事実です。各社の規模も違いますし、会議体も異なります。もちろん担当者も異なります。そこから紐解いて各社への会議に参加する流れなので、どうしても調整時間を要します。「承認」というゴールは同じですが、「グループ各社の経営会議に参加」して説明や承認を得るパターンもあれば、「バイセルとグループ各社の管理定例」のような場に参加して承認を得るなど、決まったやり方がない中、色んなアプローチを考えながらの試行錯誤の連続でした。
このあたり、気持ち的に辛くなるパターンもあるかもしれませんが、セキュリティ対応は私しかやる人がいないという責任感を持って調整を進めました。1つ1つの対応を自身への学び(ナレッジ)として蓄積することが大事だと常に前向きな気持ちを持っていたため、気持ち的に苦しくはなく、少しずつ承認をもらえるのを楽しんでいたかもしれません。拡大期においては初期の手順書構築などでベースとなる情報があるので、むしろ人の調整に多くの時間を割きました。ですが、このあたりは今後の変化を考えると貴重な時間であり、経験であったと考えています。
STEP 3:達成したことと現行課題(2025年10月)
STEP1の対応で、本社系CSIRTの初期構築を2024年10月に完了しました。続いて、STEP2の対応で、グループCSIRTの初期構築を2025年9月に完了しました。
本社CSIRT事務局メンバーは専任後に、簡単な机上訓練を実施し、連絡フローの整備等を行いました。構成としては、本社CSIRT事務局がグループ各社とのフロントに立ちつつ、本社の経営陣や関連部門とのハブの役割を担う形です。
グループ各社においては(主に管理部門の責任者となりますが)、緊急連絡報告や窓口担当者を定めました。(以下、体制図を参照)
ただ、実効性という観点でも以下の課題を感じています。
もちろん課題への対応を計画的に行う予定ですが、CSIRTというニッチな(特定の分野に特化した)セキュリティ領域においては、コミュニティを通じた他社との連携・ナレッジ共有が大切であるとも考えています。その対策(最適解)として、「日本シーサート協議会(NCA)」への加盟を検討しました。
こちらの加盟に際し、自身の提案をCTOが承認してくれたことが嬉しかったです。 ただ、加入にあたっては既存会員の推薦が必要で、推薦企業の選定に難儀するという問題も発生しました。結果としてはNCA事務局に直接相談した上で、NCA理事職を務める関西の企業からの推薦を受けられることとなり、2025年10月に無事に加盟組織として承認を頂きました。NCA会員一覧/プレスリリース
何度かNCA主催のイベントに参加しましたが、とても活力のあるCSIRTコミュニティですので、情報を得て自社に持ち帰るだけでなく、ワーキンググループへの参加を通じて、情報発信にもチャレンジしようと考えています。
登録したCSIRTチーム名称は「Aegis BuySell CSIRT」です。Aegis(イージス)はイージス艦をイメージされる方も多いかもしれませんが、その語源はギリシャ神話における主神ゼウスや、その娘の女神アテナが用いる防具(盾)の英語読みです。「高度な情報収集力を持った強固な守りの組織にする」という願いを込めて命名しました。情報セキュリティにおいても、このような少しの遊び心を持ちつつ、専門領域への取り組みには決して妥協せず、より実効性を高めていきたいと考えています。
ここで、1つ宣伝となりますが、NCA主催の年末のAnnual Conference 2025での登壇を予定しています。 annualconf.nca.gr.jp
DAY1の19時以降のセッションを予定しており、『グループCSIRT構築の取り組みとM&Aを見据えたCSIRT組織の未来』をテーマにお話しをする予定です。 会場も広く、登壇時間も長めとなる予定です。また、BoF形式というコミュニケーションを取れる形式と聞いていますので、自分自身も楽しみにしています。 今後、このような情報発信という観点も一層の強化できればと考えています。
今後の構想(未来の話)
上記の通り、CSIRT運営の実効性や成熟度を高めることが現状の課題ですが、2025年11月14日にバイセルグループの会社再編に関するプレスリリースが発表されました。詳しい内容は公表された情報からご確認いただきたいですが、CSIRT運営としても体制変更を考える必要があります。
今までは「フォーナイン」「日創」「むすび」「レクストホールディングス」といったグループ各社への説明や担当者選出などの調整をしていましたが、2026年1月以降のバイセルグループ全体像に従って体制を再調整する必要があります。(図2)
グループ会社再編の話を聞いた時、私は「今後もまた大変だな」とか「今まで頑張ったのに」といった気持ちはありませんでした。「管理面・統制面でメリットがある」「柔軟に体制変更するナレッジを蓄えよう」と思いました。
これは、STEP2に記載した通り、グループCSIRT構築は、結局は人との調整に時間を要したことを感じていたためです。今回はグループ会社再編のニュースですが、今後はさらなるM&Aが発生する可能性もあります。体制の形骸化とは真逆で、常に変化があることを前提としたCSIRT体制作りが必要です。これはかなり珍しいパターンと言えるかもしれません。
今後の主な対応計画は以下のとおりです。
CSIRT組織は「セキュリティ面からバイセルグループ全体を守る『最後の砦』」となります。 今回の公表を通じて、改めてCSIRT組織の「役割」「目的」を忘れず、その達成のための体制整備も重要であることを再認識しました。変化はポジティブに捉えますし、それが会社全体の成長と伴走していると言えるのではないかと考えます。バイセルならではの変化を柔軟に受け入れ、変化し続けるグループCSIRTの運営を楽しもうと思います。
引き続き2026年は、新グループ体制での体制整備、CSIRT担当者の教育、全体の定期的な訓練等を計画・推進します。
おわりに
最後まで読んでいただき、ありがとうございます。 今回は、2025年に注力した「グループCSIRT導入対応」の”振り返り”と”未来”について記載しました。 「自身の経験値」を活かしながら「経営層からの承認」「グループ各社への調整」など、多くの関係者とコミュニケーションを行うという、なかなかできない経験を重ねることができたと実感しています。情報セキュリティ専任として、入社時に自ら策定した中期セキュリティ戦略を完遂しなければならないという”責任感”を感じながら試行錯誤した点は、振り返れば自身の経験値になったと思います。
また、記載したようにグループ会社再編が発表されたことや、未知なるM&Aも考慮した柔軟なCSIRT組織運営を考える必要があります。このあたりはバイセルならではの「変化」をポジティブに捉え、常に滞りなく動ける実効性が高く活力のあるCSIRT組織運営を行っていきます。
今後も、情報セキュリティの専門的な知見から経営を縁の下の力持ちとして支援し、「情報セキュリティの力で企業価値を支える」という、自分自身が描くキャリアの実現を目指していきたいと思います。
バイセルでは一緒に働くエンジニアを募集しています。興味がある方は、以下よりご応募ください。 herp.careers
