CSIRT連携とさらなるセキュリティの強化
YMC-CSIRTの立ち上げは、日々収集する脆弱性やサイバー攻撃などの広範なセキュリティ情報を対策に役立てることや、自社のみでは対応が難しいインシデント発生時の外部との連携、また、セキュリティ関連情報の連絡窓口(Point of Contact=PoC)を明確にする目的があった。
特にPoCは、CSIRTの重要な機能の1つに挙げられる。例えば、サイトの改ざんや情報流出の可能性といった緊急性の高い情報がPOCに寄せられると、PoC担当者が他のCSIRTメンバーと内容を確認、検討し、組織内の関係部署や担当者と調整して迅速に対応することができる。もしPoCがなければ、情報を提供する側は連絡先を探す作業に追われてしまうし、連絡を受けた部署も組織内のどの部署や担当者に取り次いでいいのか分からず、その間に事態が悪化しかねない。
YMC-CSIRTは、2014年に国内のCSIRTコミュニティー「日本シーサート協議会」(NCA)にも参加した。NCAに参加する他の企業や組織のCSIRTと情報をやり取りしたり、セキュリティの課題や問題について議論したりすることで、セキュリティレベルの向上につなげていけるためだ。現在、原子氏はNCAの運営委員も務めている。
一方、自社のセキュリティ対策ではWAFに加えてSIEM(セキュリティ情報やイベントなどを管理・分析するシステム)を導入し、WAFなどのセキュリティシステムの情報から不審な通信などをリアルタイムに監視したり、脆弱性悪用攻撃などの状況を迅速に把握したりできるようにしている。また、大手のセキュリティサービス事業者と提携して、世界の拠点でインシデントが発生しても迅速に調査を開始できる体制も構築した。一定のインシデントについても、作業内容をマニュアル化して対応を効率化させているとのことだ。
YMC-CSIRTの体制をグローバル化している
先述したように同社ではグローバルでITガバナンンス体制の整備を進めている。YMC-CSIRTについても、国内本社を中心として世界7地域ごとにPoCを設置し、インシデントへの対応体制をグローバルで構築している。
地元で消防団に参加しているという原子氏は、CSIRTの活動を消防団に例える。いざ地域で火災が発生すれば、専門家である消防隊が駆け付ける前に消防団が初動対応を行って甚大化を食い止めるのと同じように、セキュリティのインシデント発生時にCSIRTが初動対応を担うことで被害を抑止するというものだ。
CSIRTの活動は消防団に例えることができる
消防団は、平時に対応訓練や地域消防との情報共有などに取り組むことで、有事に備えており、CSIRTの活動もまた同様であるとしている。