7月8日に開催されたマクニカネットワークス主催「Macnica Networks DAY 2014」では、大成建設 情報企画部の北村達也氏が登壇し、昨年発足した同社CSIRT「Taisei-SIRT(T-SIRT)」の役割や運用のポイント、さらに「Splunk」を用いた大量のログデータの相関分析に基づく「攻撃予兆検知」の取り組みなどが紹介された。
大成建設 社長室 情報企画部 部長(担当)で、Taisei-SIRT(T-SIRT)リーダーを務める北村達也氏。「建設業は設計図、工程図といった“情報”で動く仕事。また、リスク管理を誤れば人命にも関わる。そうした企業のCSIRT事例として聞いてほしい」
全社的なリスク管理体制との融合、迅速な連携がポイント
北村氏は「企業のリスク管理としての情報セキュリティ ~大成建設、T-SIRT作りました!~」と題した講演を行った。
大成建設の情報システムは、社長室配下にある情報企画部(約30名)とグループ会社の大成情報システム(TAIS、約80名)とが一体となって運用管理を行っている。T-SIRTは、この両組織からリーダークラスのメンバー数名(6名+若手育成枠2名)が集まり、組織横断的に構成されている「仮想組織」だ。
大成建設では情報システム部門内に「仮想組織」としてT-SIRTを設置、数名のメンバーにより運営されている
一般的にCSIRTには3つのタイプがある。「専任型CSIRTを“消防署”とすれば、兼務型のT-SIRTは必要な時だけ招集される“消防団”」(北村氏)
T-SIRT設置の背景には、ビジネスのIT依存が進む一方で、特に2011年以降、企業/政府組織や社会インフラをターゲットとしたサイバー攻撃が激化している状況がある。高度化/複雑化するサイバー攻撃を完全に防ぐことは困難であり、「被害は日常的に発生しうることを前提に、迅速にインシデント対応できる体制を作らなければならない」(北村氏)。政府もこの数年、民間企業に対して企業内CSIRTの設置を呼びかけている。
大成建設では従来から、大規模災害やパンデミックなどのリスクに対応する全社的なリスク管理体制を敷いてきた。これに加えて昨年、電子情報インシデントに対応するため、新たに社内規定でT-SIRTの設置を明文化した。ここでは、有事(重大インシデント発生時)と平時におけるT-SIRTの対応体制を定めている。
ここで重要なことは、既存の全社リスク管理体制とT-SIRTとをうまく融合させ、インシデントに関する迅速な情報共有と対応につなげることだと、北村氏は説明する。
「たとえば情報漏洩事故が発生した際、そのビジネスインパクトを判断できるのはIT部門ではない。現場部門やコンプライアンス部門だ。被害が拡大する前にいち早くインシデントを押さえ込むためには、『会社全体としての判断』を迅速に下せる体制が欠かせない」(北村氏)
大成建設における重大インシデント(有事)への対応体制。T-SIRTは全社的なリスク対応組織(CRO事務局)との連携で、迅速な緊急対応(インシデントハンドリング)を図る
平時には、社外組織からのリスク情報の収集、社内ルール改善、セキュリティ啓発などの危機管理(インシデントマネジメント)を実施
(→次ページ、標的型攻撃の「サイバーキルチェーン」を断ち切れ! )
