セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -

セキュリティ対策は経営課題
情報セキュリティリスクに
備える Cy-SIRT の軌跡
Cy-SIRT
伊藤彰嗣
Copyright (C) Cybozu,Inc. 1

⾃⼰紹介
• 伊藤彰嗣（@springmoon6）
• サイボウズの CSIRT（Cy-SIRT）窓⼝（PoC）担当
• 経歴
• 2006年新卒⼊社
• 2009年サイボウズ Garoon 品質保証責任者
• 2011年 cybozu.com 品質保証責任者
• 2011年 Cy-SIRT ⽴ち上げ
• 2014年脆弱性報奨⾦制度運営
• 2016年セキュリティキャンプ講師
2Copyright (C) Cybozu,Inc.

Cy-SIRT
• サイボウズの CSIRT
• Computer Security Incident Response Team
https://www.cybozu.com/jp/features/manage
ment/cysirt.html
http://www.nca.gr.jp/member/cy-sirt.html

サイボウズのセキュリティ施策
お客様の情報資産を守ること
• 不正アクセス対策
• 不正ログイン対策
• 脆弱性対策
製品セキュリティ
• 災害対策
• 障害検知・復旧対策
• ⼈的エラー対策
運⽤基盤

Cy-SIRT：ミッション
社外の組織・専⾨家と協⼒して、インシデント発⽣の予防、
早期検知、早期解決、被害が発⽣した場合の最⼩化を主眼
とした活動をすること
インシデント
対応⽀援
外部機関との
連携
インシデント
発⽣予防
脆弱性検査
脆弱性報奨⾦
制度運営
脆弱性管理

今⽇お話しすること
進まない
セキュリティ対策
増え続ける業務量組織を横断する業務
に関する⼈材不⾜
Cy-SIRT が今年抱えた課題

サイボウズの
セキュリティ体制の変遷

2009 年当時のセキュリティ体制
開発本部
情報
システム部
カスタマー
本部
内部統制
本部
経営管理本
部
⼈事本部
本部⻑会
• IT 全般統制対応により内部監査を⾏う部⾨ができる

2009 年当時の課題
外部からのセキュリティに関する窓⼝に
専任担当者がいない
製品だけでなくより広いセキュリティ問題に
取り組むチームとして Cy-SIRT を設⽴（2011 年）
http://www.slideshare.net/akitsuguito/appsec-akitsugu-ito

2013 年のセキュリティ体制
Cy-SIRT
運⽤本部
情報
システム部
事業⽀援
本部
内部統制部
BM本部
カスタマー
本部
海外拠点
本部⻑会
開発本部
• クラウドサービスの開始に伴い Cy-SIRT が発⾜
• 開発本部と運⽤本部が分離

2013 年当時の課題
組織横断的なセキュリティに関する所管部⾨が不明瞭
Cy-SIRT は開発本部の下にあり、
主なコンシチュエンシーは
サービスをご利⽤いただくお客様と開発本部

CSM（Cybozu Security Meeting）
CSM
（Cybozu Security Meeting）
内部
統制
CSI
RT
製品
情
シ
ス
社内
事業戦略会議/本部⻑会
セキュリティ責任者（本部長、部長、副部長等）
全社、各部⾨
ISMS
意思決定をする機関ではなく、
セキュリティに関する事項を
議論するための会議体
関
係
事
業
部
社外

2016 年のセキュリティ体制
CSM
開発本部
Cy-SIRT
運⽤本部
情報
システム部
事業⽀援
本部
内部統制部
BM本部
カスタマー
本部
海外拠点
本部⻑会

2016 年に起きたこと
進まない
増え続ける業務量組織を横断する業務
に関する⼈材不⾜
セキュリティ組織を再編成することを検討

再編成に向けた議論

サイボウズの⾵⼟
• 権限で仕事をする⽂化ではない
• 質問責任 / 説明責任
議論をして合意を取り仕事を進める⽂化
• Action 5
（理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼
体）
• 問題解決メソッド
議論のフレームワークは整備されている

最初に考えたこと
CSIRT の業務範囲を⾒直そう
CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスに
ついて、対象企業を 3 つのパターン例に分けて解説したドキュメント
http://www.nca.gr.jp/activity/training-hr.html

分かったこと
他の職能組織は CSIRT を知らない
Cy-SIRT は他の職能組織を知らない
組織のセキュリティ機能を俯瞰し、各職能組織が
理解できる具体的な業務内容を精査する必要がある

組織におけるセキュリティ機能
産業横断サイバーセキュリティ⼈材育成検討会の成果物を元に、
組織に存在するセキュリティ機能を俯瞰します

サイバーセキュリティ対策の強化に向けた提⾔
2015 年 2 ⽉ 17 ⽇に経団連から提⽰された
サイバーセキュリティ対策の強化に向けた具体的な
取り組みの提⾔
http://www.keidanren.or.jp/policy/2015/017.html
情報共有の
強化
演習の実施
技術開発と
システム運⽤
国際連携の
推進
重要インフラ
分野の⾒直し
インターネット
の安全性向上
⼈材育成の
強化
⼈材育成の
強化

産業横断サイバーセキュリティ⼈材育成検討会
提⾔を受け⼈材育成に関する実際の活動を
どう具体化し推進していくかを検討する会議体
http://cyber-risk.or.jp/sansanren/index.html

情報システム部⾨における役割分化
情報システム
システム運⽤システム構築
基幹システム
運⽤
インフラ環境
運⽤
ユーザ
サポート
ヘルプデスク
システム監査
購買
調達
全体統括
管理
基幹システム
インフラ構築・実装
IT 戦略システム企画
事業継続
セキュリティ
対策
権限管理
CSIRT
SOC

セキュリティ対策の機能定義
統括判断
計画・企画
構築・運⽤
監査
４つの機能分類を定義

機能定義 – 関係図 –
統括判断
計画
企画
構築
運⽤
監査
中期年次年次〜四半期〜随時随時
全体統括
IT 戦略
システム
企画
基幹
システム
インフラ
構築 /
実装
ユーザ
サポート
ヘルプ
デスク
調達
ID
管理
CSIRT
基幹シス
テム運⽤
インフラ
環境運⽤
SOC
システム監査
Sec
マネジメ
ント
事業
継続
DR CSIRT
SOC
Sec
マネジメ
ント
事業
継続
DR

監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能（2009 年）
全体統括
IT 戦略
基幹
システム
インフラ
構築 /
実装
ヘルプ
デスク
ユーザ
サポート
調達
ID
管理
基幹シス
テム運⽤
インフラ
環境運⽤
システム監査
情報システム部
内部統制
本部
システム
企画
Sec
マネジメ
ント
事業
継続
DR

監査
構築
運⽤
計画
企画
統括判断
全体統括
IT 戦略
基幹
システム
インフラ
構築 /
実装
ヘルプ
デスク
ユーザ
サポート
調達
ID
管理
CSIRT
基幹シス
テム運⽤
インフラ
環境運⽤
システム監査
運⽤本部
事業⽀援
本部
SOC
システム
企画
Sec
マネジメ
ント
事業
継続
DR

監査
構築
運⽤
計画
企画
統括判断
全体統括
IT 戦略
基幹
システム
インフラ
構築 /
実装
ヘルプ
デスク
ユーザ
サポート
調達
ID
管理
基幹シス
テム運⽤
インフラ
環境運⽤
システム監査
CSM
運⽤本部
事業⽀援
本部
SOC
システム
企画
CSIRT
Sec
マネジメ
ント
事業
継続
DR

新しい組織に求められていた業務
• 認証取得 / 更新業務（ISMS クラウドセキュリティ認証 / ISMS 認証）
• 情報資産の保護基準・保護⽅法の改善
• 情報資産の棚卸
情報セキュリティマネジメント
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育

組織におけるセキュリティ機能
• 既存の固有業務の中での実施事項
• 複数の部署で複数の役割を掛け持ちでになうことが多い
セキュリティに特化した機能は限られる
セキュリティ担当職が担う業務を明確にし、
担当職を⽀援・補佐する体制を構築することが重要

セキュリティ組織の再編成
先ほどの成果物を元にサイボウズのセキュリティ機能を俯瞰し、
新たなセキュリティ組織「セキュリティ室」を⽴ち上げました

セキュリティ関連組織の理想
Trust & Secure
・お客様が安⼼してサイボウズのサービスを利⽤できる
・サイボウズの重要情報を守る
迅速な意思決定
業務が
執⾏できる体制
⼈材育成
ノウハウの蓄積

セキュリティ室の設置
統
制
Q
A
他各
部⾨
事業戦略会議/本部⻑会
CSM：横断会議体
各部セキュリティ責任者
事務局：セキュリティ室
連携
情
シ
ス
セキュリティ室
Cy-SIRT
ISMS事務局
社⻑
直下組織
Cy-
PSRT

PSIRT の分離
• Cybozu,Inc. Product Security Incident Response Team
• 製品に関する脆弱性情報を取り扱うチーム
Cy-PSIRT
• Cybozu,Inc. Computer Security Incident Response Team
• インシデント対応を⾏うチーム
Cy-SIRT

セキュリティ室の業務
インシデント
対応⽀援
外部機関との
連携
セキュリティ
情報収集
ユーザサポートヘルプデスク
セキュリティ
マネジメント
セキュリティに関する専⾨知識に基づき、
各事業部で⾏うセキュリティ施策に対して⽀援する

PSIRT の業務
脆弱性情報
管理
報奨⾦制度
運営
脆弱性検査
外部機関との
連携
セキュリティチームと連携しサービスを提供

監査
構築
運⽤
計画
企画
統括判断
セキュリティ機能（セキュリティ室設置後）
全体統括
IT 戦略
基幹
システム
インフラ
構築 /
実装
ヘルプ
デスク
ユーザ
サポート
調達
ID
管理
CSIRT
基幹シス
テム運⽤
インフラ
環境運⽤
システム監査
セキュリティ室運⽤本部
事業⽀援
本部
SOC
システム
企画
Sec
マネジメ
ント
事業
継続
DR

まとめ

組織のセキュリティ対策
• 担当職が担うセキュリティ機能を明確化
• セキュリティ担当者が機能をかけもちしないように配慮
担当職を⽀援・補佐する体制を構築
• 社⻑直下に Cy-SIRT を中⼼としたセキュリティ室を構築
Cy-SIRT の変遷

成果物を利⽤した所感
• 対象となる業務を担当する部署・部⾨の把握
• 既存の組織間で業務内容の調整をする際に、
各部⾨の現状の業務領域を可視化できる
組織のセキュリティ機能を俯瞰できる
• 参照元となるドキュメントを参照するなど追加のコストが必要
機能定義に対する説明が不⾜気味

今後の課題
• これまでの施策の引継ぎに伴う諸対応
業務領域の拡⼤
• 専⾨的な技術を持つ⼈材をどのように育てるか
• アウトソーシング計画
⼈材の確保
• 各担当者の教育をどのように進めていくか
全社的なベースラインの底上げ

Q&A
ご清聴いただき、誠にありがとうございました。

参考⽂書
• 「産業横断サイバーセキュリティ⼈材育成検討会」
第⼀期最終報告書
• http://cyber-
risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1.
0.pdf
• 総務省平成 27 年通信利⽤動向調査
• http://www.soumu.go.jp/menu_news/s-
news/01tsushin02_02000099.html

Appendix
各セキュリティ機能の業務例
サイバーセキュリティ対策機能を実現する業務の具体例を、
機能別にまとめます。

情報システム部⾨における役割分化
情報システム
システム運⽤システム構築
基幹システム
運⽤
インフラ環境
運⽤
ユーザ
サポート
ヘルプデスク
システム監査
購買
調達
全体統括
管理
基幹システム
IT 戦略システム企画
事業継続
セキュリティ
対策
権限管理
CSIRT
SOC

業務例：全体統括 / 事業継続
• サイバーセキュリティ対策に関する全社的統括
サイバーセキュリティ統括
• ICT環境における事業継続計画の策定
• サイバーセキュリティ保険の導⼊検討
IT-BCP
全体統括
管理
事業継続

業務例：システム企画
• ユーザビリティに基づく機能改善・実装計画の企画⽴案
エンドポイントおよび、UI に関するセキュリティ機能改善計
画の策定
• システムセキュリティの観点に基づく機能改善・実装計画の
企画⽴案
• システム構成に関するセキュリティ機能改善計画の策定
セキュリティ実装計画
システム
企画

業務例：基幹システムインフラ構築・実装（１）
• セキュア構築・運⽤設計の企画⽴案
• 各開発プロセスおよび、運⽤改善におけるセキュアデザイン
• 多層防御に基づくセキュア設計管理
• ネットワーク及びシステム構成に対するセキュアデザイン
セキュリティ対策導⼊・開発計画
• セキュリティ対策関連の製品・サービスに対する評価検証
セキュリティ製品品質管理
基幹システム

業務例：基幹システムインフラ構築・実装（２）
• システム構築及びシステム運⽤のセキュリティ対策分野に関する
プロジェクトマネジメント及びプロジェクト運⽤⽀援
システムセキュリティ対応
• 脆弱性診断（導⼊時・運⽤時）パッチ適⽤時の評価テスト
運⽤テスト・パッチ管理
基幹システム

業務例：基幹システムインフラ構築・実装（３）
• 全システムに対するパッチ管理及び脆弱性診断に関する計画
の企画⽴案
• セキュリティ対策関連の製品・サービスの選定及び実装⽀援
• セキュリティ対策におけるシステム的機能の継続的改善活動
セキュリティ機能評価/改善
基幹システム

業務例：権限管理 / SOC
• ActiveDirectry管理 / シングルサインオン管理
• システム、フォルダ等アクセス権管理
ID管理 / アクセス権管理
• セキュリティオペレーション業務における導⼊・構築
• セキュリティオペレーション業務における運⽤管理
• セキュリティオペレーション業務におけるインシデント対応
SOC
権限管理
SOC

業務例：基幹システム運⽤
• OS・プラットフォーム・ミドルウェア等に対する版管理
OS管理
• 基幹システム等のアプリケーションに関するバージョン管理
アプリケーション管理
• クラウドサービス選定及び利⽤管理、セキュリティ対策
クラウドサービス管理
基幹システム
運⽤

業務例：インフラ環境運⽤
• DB機器管理 / 構成管理
• DB データセキュリティ（設定・格納されるデータ）
データベース管理
• 通信環境管理（FW 、プロキシ、WAF などの設定）
• 通信監視（死活、パケット監視）、通信遮断管理
• 脅威情報の活⽤
ネットワーク管理
基幹システム
運⽤

業務例：システム監査 / 購買・調達
• 情報セキュリティ監査、物理的セキュリティ監査
• システム監査
監査
• 取引先選定
• 製品・サービス調達
購買・調達
システム監査
購買
調達

業務例：ユーザーサポート / ヘルプデスク
• 社内のICTリテラシー向上のためのユーザー⽀援
• リスク対応教育の企画・計画・実施
サポート教育
• インシデント発⽣時の問合せ窓⼝
• 端末・機器異常（インシデント発⽣以前）の相談窓⼝
ヘルプデスク
ヘルプ
デスク
ユーザ
サポート

業務例： IT 戦略
• コンプライアンス、ガバナンス、RM の観点に基づくセキュリティ対策
事業戦略 / 中期計画
• セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定
年次計画
• IT 導⼊・構築運⽤改善計画の企画⽴案、ガイドライン・マニュアルの作成
• ライセンス管理を踏まえたリプレイス計画、固定資産管理・ソフトウェア会計
管理
ICT 企画
IT 戦略

業務例：セキュリティ対策
• ICT 環境・ICT 運⽤改善計画の策定
• 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討
• 情報資産の棚卸
情報セキュリティマネジメント
• 災害対策（DR）に関する ICT 環境改善計画の策定
• 災害対策および、災害発⽣時に関する稼働計画の策定
ディザスタリカバリ（DR）
セキュリティ
対策

セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -

More Related Content

What's hot

Viewers also liked

Similar to セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -

More from Cybozucommunity

セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -