ANAにおけるCSIRTの役割
ANAグループの情報セキュリティ関連組織は下記のような構造になっている。
このうちCSIRTの役割は大きく分けて「情報共有」「情報収集分析」「インシデント対応」「自組織内教育」の4つとなる。
特に「事後対応も必要だが、インシデントが起きないに越したことはない。そのために、普段からいかに情報共有と情報収集分析をしっかりやっておくかが大事」(阿部氏)という考えから、情報共有と情報収集分析が業務の8割を占めている状況だという。
またANAグループの特徴の1つに、SOC(セキュリティオペレーションセンター)を一元化していることが挙げられる。これについて阿部氏は「グループ全体でネットワーク統合する意義の1つに、SOCにおける専門知識の一元化がある。何かが起こったときにそこで一覧でき、対応できるようにすることはグループ全体として重要。ネットワークを繋ぎたくないという企業もあると思うが、最低限グループ会社とのCSIRT連携は必要になる」と説明する。
一方で、グループ会社側に対しては、支援が必要な役割とおおよその実施内容の合意をしておくことが重要であるという。
「侵入の入り口となるメール、社員のWebアクセス、B2Cの入り口に対する構成図とセキュリティ機器の配置、対策内容などを明確にしたサプライチェーンのネットワーク構成図は少なくとも用意しておきたいものです。その上で、POC(サービスデスク)との連絡係、トラブルがあった際の旗振り役、キュレーターの役割を支援することで、インシデント対応時の仕組みは回ります」(阿部氏)
安全なシステムを開発する
そもそも、システム自体を安全なものにしておくことも重要だ。ANAグループでは、インシデント発生確率を下げるために、全てのシステムに対してセキュリティ適合確認を行っている。具体的には、システム開発工程において、企画の段階でセキュリティ要件の抜け漏れ防止、設計の前にはセキュリティ要件の実装方式、テストの段階では開発中の変更点を確認し、可動前には脆弱性診断を行うなど、合計4回の確認作業を行っているという。
また、ANAグループのようにグローバル展開する企業は、現地の作業環境やネットワーク環境の確認も必要となる。阿部氏は「例えば、EU社員のプライバシーデータの意識は日本とは異なる。日本のルールではフリーサイトの登録に会社のアドレスを利用しないことになっているが、彼らはむしろ逆で、リスクのあるサイトに個人のメールアドレスを登録すべきではないという考えを持っている。その国や文化にそぐわないルールに陥らないようするため、現地の視察は必ず行うべき。そのなかで、従業員のリテラシー向上やサービス利用を含めたシステム確認も行っていく必要がある」と説明した。
役割に応じたセキュリティ人材育成
阿部氏は最後に、セキュリティ人材育成の重要性についても触れた。ANAでは、CSIRT内の役割に応じて教育コースを変えている。
「連絡/統括、インシデント対応、SOCの担当者はインシデント訓練を行う一方で、セキュリティマネジメント担当者はリスクアセスメントや資産管理などをOJTで実施していきます。また、開発や開発支援担当者は、ガイドライン改定などを行います」(阿部氏)
これによって適材適所への要因配置や適切な人事ローテーションが可能となる。また阿部氏は「セキュリティを考慮していないシステムはあり得ない。セキュリティを特別視せず、人事マップへセキュリティ要員を組み込むことも重要」だと語った。