多くの事業会社でCSIRTを設立する動きがあるものの、その機能が十分に発揮されず、人材の確保や育成も難しいという課題が浮上している。ANAシステムズのセキュリティマネジメント部でCSIRTの指揮を執る阿部恭一氏と岩井洋氏は、ANAグループのセキュリティ強化を推進する中で、この課題に対する具体的なアプローチを模索してきた。両氏は2024年9月25日~26日に開催された「Security Online Day 2024 秋の陣」に登壇し、CSIRT組織を維持・成長させていくためのポイントと、ANAグループにおける実践事例を紹介。2025年に向け、事業会社のセキュリティ組織はどう在るべきかを示した。
「CSIRTが機能しない」理由を根本まで探ってみる
近年、セキュリティインシデントに対応する専門チーム「CSIRT(シーサート)」を設立する企業が増えている。しかし、設立したものの運用フェーズで思うように機能せず、人材の確保や育成も進まないまま停滞しているケースが多い。
ANAグループのセキュリティ対応チームとして、2013年にANAシステムズ内に設立された「ASY-CSIRT」。その立ち上げを主導した阿部恭一氏は、日本でも先駆けてこうした課題の解決に尽力してきた人物だ。まず同氏は、「CSIRTとはどのような組織であるべきなのか」という問いから話を始めた。
「CSIRTとは決して特別な組織ではなく、最終的には不要になるべき存在だと私は考えています。セキュリティが品質管理や安全対策の一環として捉えられ、当たり前のように運用部門に統合されていくことが理想です。現在のCSIRTは、その理想に向けた過渡的な存在だと捉えています」(阿部氏)
この理想をかなえるために、まずはCSIRT組織の維持と成長が必要だと阿部氏。その実現に向け重要なポイントとして以下の4つを挙げ、それぞれについて詳しく解説した。
- 自社のセキュリティ業務への正確な理解
- チームの能力育成
- インシデント対応力の強化
- 経営層との連携&必要なリソースの確保
[画像クリックで拡大表示]
自社のセキュリティ業務、本当に理解できているか?
まずは、自社のセキュリティ業務に対する詳細な理解が不可欠だ。自社にはどんな資産があり、自分たちが守るべきものは何か。どう守るべきなのか。守るためには何が必要で、現状では何が足りないのか。皆さんは、正確に把握できているだろうか。
さっそく、自分たちが所属する組織の資産を棚卸ししてみよう。阿部氏は棚卸しすべき重要項目として、自社の資産とその状態、セキュリティ機器の配置、インシデント対応プロセスの再確認などを挙げた。急速に変化する脅威やテクノロジートレンド、事業環境に対し、果たして現行のプロセスは適切に対応できるのか。今一度、検証することが求められる。
セキュリティ製品の運用においては、「導入して終わりではなく、常に最適化を続けなければならない」と阿部氏。悪意ある攻撃者は、常に新しい抜け道、いわゆる“脆弱性”を見つけ、それを悪用しようとする。加えて、コロナ禍以降の働き方の変化を踏まえたセキュリティ運用ポリシーの策定・更新が重要だと述べた。
こうした取り組みを進めるにあたり、阿部氏は「民民連携」の重要性を訴えた。公的な機関との官民連携だけでなく、民間同士でインシデント対応やベンチマークの情報共有を行うことが、自社のセキュリティ水準向上につながるからだ。
「日本シーサート協議会やISACのような信頼できる民間団体の中で得られる、外部には公開できない貴重な情報が非常に役に立つのです」(阿部氏)
加えて同氏が推奨するのは、「インテリジェンスの活用」だ。地政学的な脅威動向や、他社のインシデントを参考にした考察は、自社のセキュリティ戦略を策定するうえで欠かせない要素となる。参考にする情報として、阿部氏はIPAの『脅威インテリジェンス導入・運用ガイドライン』を例に挙げた。
多くのCSIRTが意外とできていない「適材適所」のメンバー配置
続いて重要となるのが、CSIRTのチーム能力育成だ。チームの能力向上には、当然だがしっかりとした部下の育成が欠かせない。そのためには、スキルマップ作りと教育機会の創出、CSIRTの守備範囲や他部署との役割分担の明確化、さらにはメンバー全員の役割の明確化が必要となる。
特に、必要なスキルを洗い出し、役割分担を明確化することは、「適材適所」の配置を実現するうえで避けては通れない。まずは、社内に存在するすべてのセキュリティ関連業務と、その業務遂行に必要となるスキルを洗い出してみよう。すると、次第に最適な人材の配置が見えてくる。「この業務には高度な専門的技術は必要ないから、この人に担当してもらおう。そして専門的な技術を持つ人には、もっと難しい技術的な業務に専念してもらおう」といった具合に。
これを読んでいるあなたがチームのリーダーという立場にあるなら、メンバーをメンタル面でサポートすることにも気を配る必要がある。阿部氏は、「セキュリティの業務は単調になりがちなため、メンタルが不安定になりやすい」と注意を促す。
加えて、メンバーを募集する際には専門性を求めすぎていないかチェックすることを推奨した。なぜなら、一人でいくつもの専門的なセキュリティスキルを持ち合わせている人は、事業会社のセキュリティ人材市場においてほぼ存在しないからだ。また、先ほど述べた役割分担の明確化がしっかりできていれば、「思っていたほど専門的なスキルを必要としなかった」、あるいは「この領域は自分たちで担うことに固執せず、他部署や社外のリソースを頼ってもよさそうだ」という事実に気付くこともある。
CSIRTの存在感を高めるための活動も忘れてはならない。存在感が高まることはモチベーションアップにもつながる。CSIRTの活躍は、どんどん社内にアピールしていこう。セキュリティに携わっていない人の中には、「セキュリティ組織は有事の際に活躍するもの」だと思い込んでいる人もいる。しかし、実際は平時の際にも脅威を未然に防ぎ、経営や業務の安定運用を支えているのがセキュリティ組織だ。
「『CSIRTは普段も欠かせない存在だし、有事の際にはもっと頼りになる』というメッセージを発信し続けることで、組織全体のセキュリティに対する理解が深まっていきます」(阿部氏)
その一環として、CSIRTのリーダーは非常時だけでなく、平常時から経営者と対話し、世の中のインシデント情報を常日頃から提供できる関係を作っておくことが重要だ。また、存在感を示したうえで、人事部とスキルパスや賃金についてしっかり話すべきだと阿部氏は指摘する。
経営層や他部署からどう理解を得るか、セキュリティ組織のリーダーが果たすべき役割は?
CSIRTのインシデント対応力を向上させるためには、日頃からの準備が欠かせない。まずは、セキュリティ機器の有効性と、平時の業務プロセスを確認してみよう。これらが不十分だと脆弱性、すなわちセキュリティの“隙”が生じる。一度確認して終わりではなく、定期的に確認することが重要だ。ちょっとした環境の変化で、安定していた機器や業務プロセスに欠陥・不足が生じる可能性も十分にある。
加えて、予防策の見直しや有事を想定した訓練の実施も大切だ。経営層や他部署のリテラシーを向上させるための訓練・教育プログラムについても、マンネリ化を防ぐために創意工夫が求められる。訓練はCSIRTだけで実施するのではなく、他部署も巻き込むべきだと阿部氏は話す。有事の際に、自分たちが何をすればよいのか全社員が理解していることが理想的だ。そして、これらを実現するために、セキュリティ組織のリーダーには異なる分野の人とコミュニケーションをとる能力が求められる。
さらに阿部氏は、費用対効果の可視化、人材リソースの確保、スキルアップと報酬の連動を重視している。セキュリティ対策の成果を数値化し、経営層に対して論理的かつ具体的に説明することが、予算や人材の確保に大きく影響するのだという。また、メンバーのスキル向上に応じた目標設定と報酬を人事と連携して決めることで、チームのモチベーションを維持し、組織全体の成長を促進できる。
「セキュリティは総合格闘技」、誰もがセキュリティパーソンの可能性を秘めている
阿部氏がここまで述べてきた、CSIRT組織が維持・成長するための取り組みを、ASY-CSIRTではどのように実践したのか。ここからは、2020年度よりグループのセキュリティ統括部署に参画し、組織管理職を務める岩井洋氏が講演を行った。岩井氏は直近、ANAグループ全体のセキュリティを見渡す新たなCSIRTをリーダーとなって立ち上げた人物だ。現在ANAグループでは、それぞれのグループ会社が独自にCSIRTを設立する動きが興っており、岩井氏のグループCSIRTがそれを統括する役割を担うのだという。
岩井氏がセキュリティマネジメント部に着任したのは2020年。それまでは、空港や海外拠点におけるシステムの保守・開発に従事していた。そのため、着任当時は岩井氏自身にセキュリティの経験や実践ノウハウはなかったうえ、そもそもANAシステムズの社内全体を見渡しても、セキュリティの知識や理解度は乏しい状態だったという。岩井氏は当時を、「お手上げ状態だった」と振り返る。
実際、日本シーサート協議会のアンケートでも、「何をしたらいいかわからない」「人材育成のノウハウがない」「育成しても転職されてしまう」「チームが疲弊している」などといったネガティブなコメントが非常に多く、当時の岩井氏のような境遇は、事業会社のセキュリティ担当者が抱える共通の悩みだということがうかがえる。
こうした厳しい状況からのスタートだったが、岩井氏がまず注力したのは、阿部氏が冒頭に提唱した4つのポイントの1つである、「セキュリティの仕事を知る」ことだった。経営者や上司を含め、セキュリティに携わる全員のマインドセットを変えるべく、同氏は「セキュリティは総合格闘技」という意識を持つようになった。
セキュリティの仕事を学ぶことは、ITや業務の知識、さらには経営の視点を養う絶好の機会であると捉えた岩井氏。「この意識・姿勢が成長志向を促進する」と語った。セキュリティへの挑戦を「自己成長のチャンス」と解釈したことで、単なる義務ではなく、前向きな気持ちで取り組む姿勢が生まれたのだという。
「自社のセキュリティ業務を知る」という観点で、ANAグループでは自社の資産、システム、サービス、扱われている情報、現行セキュリティ対策などの可視化を進めた。また、新たなシステムを導入する際にはセキュリティ適合性の審査を行い、その結果をナレッジとして社内に蓄積している。また、年に1回の定期確認では棚卸しとアセスメントを実施し、そこで得た情報を資産管理とインシデント対応に活用している。
岩井氏は、「すべての人にセキュリティ人材としての可能性がある」と話す。ANAグループではこの考えを前提として、高度なセキュリティ知識だけでなく、エアライン業務の知識とビジネススキルも兼ね備えた「グローバルセキュリティスペシャリスト」の育成の仕組みを構築している。ITのバックグラウンドを持つ人だけでなく、新入社員やIT未経験者(転籍者・派遣)までもが育成対象だという。
インシデント対応力の向上については、対応マニュアルの整備と訓練の重要性を強調した。さらには、「スモール訓練」という新しい訓練方法を導入していると岩井氏。従来行われてきたロールプレイング型の大規模訓練では、一部の役割の人だけが活躍してしまう傾向があったためだ。スモール訓練では、マニュアルの読み合わせやワークショップ形式の小規模な訓練を導入し、より多くの参加者が主体的に考え、発言できる機会を作っている。
みんなから「愛されるセキュリティ部門」を目指して
経営層とのコミュニケーションはどうしているのか。岩井氏は、定例報告会だけでなく、ニュースや他社事例の迅速な情報共有、さらには雑談までも大切にしている。「時には、経営層にとって親しみ深い裏ネタを提供することも心掛けている」とも明かした。
ANAグループが力を入れるのは、社内のセキュリティレベル向上だけではない。グループ全体の従業員やその家族、さらには地域の人々から「愛されるセキュリティ部門」になるための活動を行っている。従業員の家族向けに開催される感謝祭では、セキュリティクイズを催しとして用意したり、学校で行われる高校生のための情報モラル講習に出向いたり、川崎市の科学イベントで子供向けのセキュリティ教室を開催したりなど、その取り組みは様々だ。
最後に岩井氏は、「事業会社のセキュリティは、他社と競合する世界ではありません。ですから、社内だけの活動にとどまらず、皆さんと一緒に日本のセキュリティを守っていきたいという想いです。我々も、セキュリティ部門がもっと『ワクワクする組織』になることを目指して、これからも活動を継続していく所存です」と意気込んだ。
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.