セキュリティ強化をきっかけに手探りでCSIRTを設立
最後に登壇したのは、ディー・エヌ・エー(DeNA)の茂岩祐樹氏。同社はCSIRTである「DeNA CERT」は2011年12月に設立した。2012年1月にはNCAに、同11月にはFIRSTに加盟している。なお、「CERT」は米国「CERT/CC」の登録商標であるが、茂岩氏はどうしても「CERT」と命名したくてカーネギーメロン大学と書類を交わしたという。
DeNAの茂岩祐樹氏
設立のきっかけはセキュリティの強化で、当初は何から手をつければいいのか分からなかったが、人づてでCSIRTを知り、そのフレームワークを参考に設計を実施したという。主に参考にしたものとして、茂岩氏はJPCERT/CCの「CSIRTのためのハンドブック」を挙げた。
CSIRTの効果として茂岩氏は「漏れのない検討」「組織間連携」「海外事業所への展開」を挙げた。CSIRTには「正しい教科書」や「決まった型」がないため、まず自社、自組織の具体的な課題を列挙し、それらを解決するために必要な技術、機能、組織を検討していったという。そして、組織の責任者、担当者が決まったら、すなわちそれがCSIRTであるとした。チームができたら課題を解決していくことになる。
設立初期の取り組みとして、茂岩氏はまず自分が詳しくなって「スモールスタート」すること、多少の時間はかかるので準備とタイミングを意識すること、事件や事故、他組織の取り組みなど業界動向を理解すること、コミュニティへの積極参加、投資対効果を定量化できる取り組みを入れることに注力したという。
運用においては、まず「防御」の体制を構築した。これには相談窓口の運営や、ポリシーモニタリング、脆弱性診断、啓発活動などが含まれる。これらを回していくことで課題が見えてくるので、次のフェーズで注力すべきことが見えてくるという。
また運用では、「ハードルを下げて情報が上がってくるようにする」「現場からリーチしやすくする」「ルールでなくリスクにフォーカスを当てる」「経営理念、文化から逸脱しない」「技術力、理解力を高める」といったことに気をつけているとした。現在は専任15人で運用しているという。
茂岩氏は「自社の課題を洗い出してみよう。解決策とCSIRTフレームワークを組み合わせればCSIRTの原型となる」「CSIRTを機能させるには組織との一体感が不可欠」「コミュニティへ参加して情報交換しよう」をポイントとして挙げた。
DeNA CERTの経緯
