セキュリティ対策は経営課題 - 情報セキュリティリスクに備える cy-sirt...

セキュリティ対策は経営課題情報セキュリティリスクに備える Cy-SIRT の軌跡

Cy-SIRT伊藤彰嗣

Copyright (C) Cybozu,Inc. 1

⾃⼰紹介

•伊藤彰嗣（@springmoon6）•サイボウズの CSIRT（Cy-SIRT）窓⼝（PoC）担当•経歴• 2006年新卒⼊社• 2009年サイボウズ Garoon 品質保証責任者• 2011年 cybozu.com 品質保証責任者• 2011年 Cy-SIRT ⽴ち上げ• 2014年脆弱性報奨⾦制度運営• 2016年セキュリティキャンプ講師

2Copyright (C) Cybozu,Inc.

Cy-SIRT

•サイボウズの CSIRT• Computer Security Incident Response Team


https://www.cybozu.com/jp/features/management/cysirt.html

http://www.nca.gr.jp/member/cy-sirt.html

サイボウズのセキュリティ施策

お客様の情報資産を守ること

•不正アクセス対策

•不正ログイン対策

•脆弱性対策

製品セキュリティ

•災害対策

•障害検知・復旧対策

•⼈的エラー対策

運⽤基盤


Cy-SIRT：ミッション


社外の組織・専⾨家と協⼒して、インシデント発⽣の予防、早期検知、早期解決、被害が発⽣した場合の最⼩化を主眼とした活動をすること

インシデント対応⽀援

外部機関との連携

インシデント発⽣予防

脆弱性検査脆弱性報奨⾦制度運営脆弱性管理

今⽇お話しすること


進まないセキュリティ対策

増え続ける業務量組織を横断する業務に関する⼈材不⾜

Cy-SIRT が今年抱えた課題

サイボウズのセキュリティ体制の変遷


2009 年当時のセキュリティ体制

開発本部

情報システム部

カスタマー本部

内部統制本部

経営管理本部

⼈事本部

本部⻑会


• IT 全般統制対応により内部監査を⾏う部⾨ができる

2009 年当時の課題


外部からのセキュリティに関する窓⼝に専任担当者がいない

製品だけでなくより広いセキュリティ問題に取り組むチームとして Cy-SIRTを設⽴（2011年）

http://www.slideshare.net/akitsuguito/appsec-akitsugu-ito

2013 年のセキュリティ体制

Cy-SIRT

運⽤本部


事業⽀援本部

内部統制部

BM本部カスタマー

本部海外拠点

本部⻑会


開発本部

• クラウドサービスの開始に伴い Cy-SIRT が発⾜• 開発本部と運⽤本部が分離

2013 年当時の課題

組織横断的なセキュリティに関する所管部⾨が不明瞭


Cy-SIRTは開発本部の下にあり、主なコンシチュエンシーはサービスをご利⽤いただくお客様と開発本部

CSM（Cybozu Security Meeting）


CSM（Cybozu Security Meeting）

内部統制

CSIRT製品

情シス

社内

事業戦略会議/本部⻑会

セキュリティ責任者（本部長、部長、副部長等）全社、各部⾨

ISMS

意思決定をする機関ではなく、セキュリティに関する事項を議論するための会議体

関係事業部社外

2016 年のセキュリティ体制

CSM

開発本部

Cy-SIRT

運⽤本部


事業⽀援本部

内部統制部

BM本部カスタマー

本部海外拠点

本部⻑会


2016 年に起きたこと


進まないセキュリティ対策

増え続ける業務量組織を横断する業務に関する⼈材不⾜

セキュリティ組織を再編成することを検討

再編成に向けた議論


サイボウズの⾵⼟

• 権限で仕事をする⽂化ではない

• 質問責任 /説明責任

議論をして合意を取り仕事を進める⽂化

• Action5（理想への共感、あくなき探求、知識を付ける、⼼を動かす、不屈の⼼体）

• 問題解決メソッド

議論のフレームワークは整備されている


最初に考えたこと


CSIRT の業務範囲を⾒直そう

CSIRT に求められる役割と実現に必要な⼈材のスキル、キャリアパスについて、対象企業を 3 つのパターン例に分けて解説したドキュメント

http://www.nca.gr.jp/activity/training-hr.html

分かったこと


他の職能組織は CSIRT を知らないCy-SIRT は他の職能組織を知らない

組織のセキュリティ機能を俯瞰し、各職能組織が理解できる具体的な業務内容を精査する必要がある

組織におけるセキュリティ機能産業横断サイバーセキュリティ⼈材育成検討会の成果物を元に、組織に存在するセキュリティ機能を俯瞰します


サイバーセキュリティ対策の強化に向けた提⾔

2015 年 2 ⽉ 17 ⽇に経団連から提⽰されたサイバーセキュリティ対策の強化に向けた具体的な取り組みの提⾔


http://www.keidanren.or.jp/policy/2015/017.html

情報共有の強化演習の実施技術開発と

システム運⽤

国際連携の推進

重要インフラ分野の⾒直し

インターネットの安全性向上

⼈材育成の強化

⼈材育成の強化

産業横断サイバーセキュリティ⼈材育成検討会

提⾔を受け⼈材育成に関する実際の活動をどう具体化し推進していくかを検討する会議体


http://cyber-risk.or.jp/sansanren/index.html

情報システム部⾨における役割分化


情報システム

システム運⽤システム構築

基幹システム運⽤

インフラ環境運⽤

ユーザサポートヘルプデスク

システム監査購買調達

全体統括管理

基幹システムインフラ構築・実装

IT戦略システム企画

事業継続セキュリティ対策

権限管理

CSIRT

SOC

セキュリティ対策の機能定義


統括判断セキュリティ対策計画・企画

セキュリティ対策構築・運⽤監査

４つの機能分類を定義

機能定義 – 関係図 –


統括判断

計画企画

構築運⽤

監査

中期年次年次〜四半期〜随時随時全体統括


基幹システムインフラ構築 /実装

ユーザサポート

ヘルプデスク

調達

ID管理

CSIRT



SOC

システム監査

Secマネジメント

事業継続

DR CSIRT

SOC


事業継続

DR

監査

構築運⽤

計画企画

統括判断

セキュリティ機能（2009 年）



IT戦略


ヘルプデスク


調達

ID管理



システム監査


内部統制本部

システム企画


事業継続

DR

監査

構築運⽤

計画企画

統括判断




IT戦略


ヘルプデスク


調達

ID管理

CSIRT



システム監査

運⽤本部情報システム部

事業⽀援本部 SOC

システム企画


事業継続

DR

監査

構築運⽤

計画企画

統括判断




IT戦略


ヘルプデスク


調達

ID管理



システム監査

CSM

運⽤本部情報システム部

事業⽀援本部

SOC

システム企画

CSIRT


事業継続

DR

新しい組織に求められていた業務

• 認証取得 /更新業務（ISMSクラウドセキュリティ認証 /ISMS認証）

• 情報資産の保護基準・保護⽅法の改善

• 情報資産の棚卸

情報セキュリティマネジメント

• 社内のICTリテラシー向上のためのユーザー⽀援

• リスク対応教育の企画・計画・実施

サポート教育


組織におけるセキュリティ機能


• 既存の固有業務の中での実施事項

• 複数の部署で複数の役割を掛け持ちでになうことが多い

セキュリティに特化した機能は限られる

セキュリティ担当職が担う業務を明確にし、担当職を⽀援・補佐する体制を構築することが重要

セキュリティ組織の再編成先ほどの成果物を元にサイボウズのセキュリティ機能を俯瞰し、新たなセキュリティ組織「セキュリティ室」を⽴ち上げました


セキュリティ関連組織の理想


Trust&Secure

・お客様が安⼼してサイボウズのサービスを利⽤できる・サイボウズの重要情報を守る

迅速な意思決定業務が執⾏できる体制

⼈材育成ノウハウの蓄積

セキュリティ室の設置


統制

QA

他各部⾨

事業戦略会議/本部⻑会

CSM：横断会議体各部セキュリティ責任者事務局：セキュリティ室

連携情シス

セキュリティ室

Cy-SIRTISMS事務局

社⻑

直下組織

Cy-PSRT

PSIRT の分離

• Cybozu,Inc.ProductSecurityIncident ResponseTeam• 製品に関する脆弱性情報を取り扱うチーム

Cy-PSIRT

• Cybozu,Inc.ComputerSecurityIncidentResponseTeam• インシデント対応を⾏うチーム

Cy-SIRT


セキュリティ室の業務


インシデント対応⽀援


セキュリティ情報収集

ユーザサポートヘルプデスクセキュリティマネジメント

セキュリティに関する専⾨知識に基づき、各事業部で⾏うセキュリティ施策に対して⽀援する

PSIRT の業務


脆弱性情報管理

報奨⾦制度運営

脆弱性検査


セキュリティチームと連携しサービスを提供

監査

構築運⽤

計画企画

統括判断

セキュリティ機能（セキュリティ室設置後）



IT戦略


ヘルプデスク


調達

ID管理

CSIRT



システム監査

セキュリティ室運⽤本部情報システム部

事業⽀援本部

SOC

システム企画


事業継続

DR

まとめ


組織のセキュリティ対策

•担当職が担うセキュリティ機能を明確化

•セキュリティ担当者が機能をかけもちしないように配慮

担当職を⽀援・補佐する体制を構築

•社⻑直下に Cy-SIRT を中⼼としたセキュリティ室を構築

Cy-SIRTの変遷


成果物を利⽤した所感

• 対象となる業務を担当する部署・部⾨の把握

• 既存の組織間で業務内容の調整をする際に、各部⾨の現状の業務領域を可視化できる

組織のセキュリティ機能を俯瞰できる

• 参照元となるドキュメントを参照するなど追加のコストが必要

機能定義に対する説明が不⾜気味


今後の課題


• これまでの施策の引継ぎに伴う諸対応

業務領域の拡⼤

• 専⾨的な技術を持つ⼈材をどのように育てるか

• アウトソーシング計画

⼈材の確保

• 各担当者の教育をどのように進めていくか

全社的なベースラインの底上げ

Q&Aご清聴いただき、誠にありがとうございました。


参考⽂書

• 「産業横断サイバーセキュリティ⼈材育成検討会」第⼀期最終報告書• http://cyber-

risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1.0.pdf

• 総務省平成 27年通信利⽤動向調査• http://www.soumu.go.jp/menu_news/s-

news/01tsushin02_02000099.html


Appendix各セキュリティ機能の業務例サイバーセキュリティ対策機能を実現する業務の具体例を、機能別にまとめます。


情報システム部⾨における役割分化


情報システム

システム運⽤システム構築



ユーザサポートヘルプデスク

システム監査購買調達

全体統括管理



事業継続セキュリティ対策

権限管理

CSIRT

SOC

業務例：全体統括 / 事業継続

•サイバーセキュリティ対策に関する全社的統括

サイバーセキュリティ統括

• ICT環境における事業継続計画の策定

•サイバーセキュリティ保険の導⼊検討

IT-BCP


全体統括管理

事業継続

業務例：システム企画


• ユーザビリティに基づく機能改善・実装計画の企画⽴案エンドポイントおよび、UIに関するセキュリティ機能改善計画の策定

• システムセキュリティの観点に基づく機能改善・実装計画の企画⽴案

• システム構成に関するセキュリティ機能改善計画の策定

セキュリティ実装計画

システム企画

業務例：基幹システムインフラ構築・実装（１）

• セキュア構築・運⽤設計の企画⽴案

• 各開発プロセスおよび、運⽤改善におけるセキュアデザイン

• 多層防御に基づくセキュア設計管理

• ネットワーク及びシステム構成に対するセキュアデザイン

セキュリティ対策導⼊・開発計画

• セキュリティ対策関連の製品・サービスに対する評価検証

セキュリティ製品品質管理



業務例：基幹システムインフラ構築・実装（２）

• システム構築及びシステム運⽤のセキュリティ対策分野に関するプロジェクトマネジメント及びプロジェクト運⽤⽀援

システムセキュリティ対応

• 脆弱性診断（導⼊時・運⽤時）パッチ適⽤時の評価テスト

運⽤テスト・パッチ管理



業務例：基幹システムインフラ構築・実装（３）

• 全システムに対するパッチ管理及び脆弱性診断に関する計画の企画⽴案

• セキュリティ対策関連の製品・サービスの選定及び実装⽀援

• セキュリティ対策におけるシステム的機能の継続的改善活動

セキュリティ機能評価/改善



業務例：権限管理 / SOC

• ActiveDirectry管理 /シングルサインオン管理

• システム、フォルダ等アクセス権管理

ID管理 /アクセス権管理

• セキュリティオペレーション業務における導⼊・構築

• セキュリティオペレーション業務における運⽤管理

• セキュリティオペレーション業務におけるインシデント対応

SOC


権限管理

SOC

業務例：基幹システム運⽤

• OS・プラットフォーム・ミドルウェア等に対する版管理

OS管理

• 基幹システム等のアプリケーションに関するバージョン管理

アプリケーション管理

• クラウドサービス選定及び利⽤管理、セキュリティ対策

クラウドサービス管理



業務例：インフラ環境運⽤

• DB機器管理 /構成管理

• DB データセキュリティ（設定・格納されるデータ）

データベース管理

• 通信環境管理（FW、プロキシ、WAFなどの設定）

• 通信監視（死活、パケット監視）、通信遮断管理

• 脅威情報の活⽤

ネットワーク管理



業務例：システム監査 / 購買・調達

• 情報セキュリティ監査、物理的セキュリティ監査

• システム監査

監査

• 取引先選定

• 製品・サービス調達

購買・調達


システム監査

購買調達

業務例：ユーザーサポート / ヘルプデスク

• 社内のICTリテラシー向上のためのユーザー⽀援

• リスク対応教育の企画・計画・実施

サポート教育

• インシデント発⽣時の問合せ窓⼝

• 端末・機器異常（インシデント発⽣以前）の相談窓⼝

ヘルプデスク


ヘルプデスク


業務例： IT 戦略

• コンプライアンス、ガバナンス、RMの観点に基づくセキュリティ対策

事業戦略 /中期計画

• セキュリティ対策に係る実施計画の企画⽴案、規定・ルールの策定

年次計画

• IT導⼊・構築運⽤改善計画の企画⽴案、ガイドライン・マニュアルの作成

• ライセンス管理を踏まえたリプレイス計画、固定資産管理・ソフトウェア会計管理

ICT企画


IT戦略

業務例：セキュリティ対策

• ICT環境・ICT 運⽤改善計画の策定

• 情報資産の保護基準・保護⽅法の改善、情報漏えい保険の導⼊検討

• 情報資産の棚卸

情報セキュリティマネジメント

• 災害対策（DR）に関する ICT環境改善計画の策定

• 災害対策および、災害発⽣時に関する稼働計画の策定

ディザスタリカバリ（DR）


セキュリティ対策

セキュリティ対策は経営課題 - 情報セキュリティリスクに備える cy-sirt...

Business