情シス担当者必見！サイバー攻撃対策の最前線 ー Usirtに学ぶインシデント対応と組織強化

日々高度化するサイバー攻撃のニュースに触れるたび、「うちの会社のセキュリティ対策は本当に大丈夫だろうか？」という悩みを抱える情シス担当者も少なくないでしょう。本記事では、CSIRT（シーサート）機能を持つUSEN＆U-NEXT GROUPの情報セキュリティ体制「Usirt（ユーサート）」へ取材し、サイバー攻撃の実態や企業が直面するリスク、そして情シス担当者が今すぐ始めるべきセキュリティ対策についてQ&A形式で解説します。

矢田 好一 氏

株式会社U-NEXT HOLDINGS
IS・インフラ統括部
情報システム部部長

2003年、株式会社USENに中途入社。基幹システムのプロジェクト、動画配信、放送に関するシステム開発を経験し、2017年からUSEN-NEXT HOLDINGSに転籍後は情報システム部を担当する。セキュリティチーム（Usirt）でUSEN＆U-NEXT GROUPのインシデント対応、セキュリティレベルの向上を実施している。

ー Usirtの概要とメンバー構成について教えてください。

Usirtは、USEN＆U-NEXT GROUP内に設立されたCSIRT機能を持つ情報セキュリティ体制です。CISO（Chief Information Security Officer：最高情報セキュリティ責任者）のもと、情報システム部とインフラサービス部によって構成されています。具体的には、情報システム部のセキュリティ対策課、ITイノベーション課、インフラサービス部のソリューション技術課、ネットワーク課、コールシステム課が連携して、セキュリティ対策に取り組んでいます。

ー Usirt設立の背景について教えてください。

Usirtは2018年9月に設立され、翌年の2月には日本シーサート協議会に加盟しました。設立の背景には、当時、上場企業の約半数が社内CSIRTを設置している状況下で、当グループにはそれがなく、セキュリティ上の危機感があったことが挙げられます。幸い、当時のCOO（Chief Operating Officer：最高執行責任者）が前職でCSIRTの設立と運営、定期的な研修を経験されていたため、その重要性を深く理解してくださり、CISOとの兼務という形でご尽力いただけたことが、設立の大きな推進力となりました。

ー Usirtの主な業務内容について教えてください。

Usirtの主な業務は、グループ内で発生したインシデント対応、セキュリティ研修と標的型メール訓練の定期開催、省庁ガイドラインのグループルール適用と啓発です。必要に応じてセキュリティ製品の検討・導入も行い、月1回のCISO報告会でグループ全体に活動を共有しています。

ー インシデント発生時の対応フローについて教えてください。

インシデントに関するお問い合わせは、連絡フォームやメーリングリストから入ってきた連絡を受け、Usirtにて初期対応を行います。スムーズな対応のため、紛失時の連絡先といった想定シナリオから、セキュリティ被害発生時の対応マニュアル（プレイブック）まで用意しています。

ー よく耳にするサイバー攻撃は、具体的にどのような手段で企業に侵入してくるのでしょうか？

フィッシングメールによる個人情報・機密情報の詐取や、サーバー・ネットワーク機器の脆弱性を突く攻撃が多いです。後者では、SQLインジェクションなどで大量のデータ窃取やWebサイトの改ざんが行われます。

ー サイバー攻撃の脅威に対して、どのような対策を行っていますか？

セキュリティルールとして、Webサイトを公開・更新する際には、脆弱性診断を実施すること、年1回の定期診断の運用を決めています。PCにはEDRを導入して、万が一、マルウェアに感染した場合、利用者からの申告の前に検知を行い、Usirtからアクションを行えるようにしています。システム的な対応ではありませんが、情報セキュリティ研修や標的型攻撃メール訓練を行って、従業員のITリテラシーの向上も行っています。

ー 中小企業がサイバー攻撃から身を守るために、最初に導入すべきサービスは何ですか？

まず導入すべきは、PCやタブレットなどの資産管理ができるソフトやサービスだと考えます。なぜなら、守るべき機器の数や利用者を把握し、全てに対して対策を講じなければ、サイバー攻撃を防ぐことは難しいからです。資産管理によって「何を守るべきか？」が明確になった後に、どのようなセキュリティサービスを導入すべきかの判断が可能になります。例えば、PC、携帯電話、ルーターなどが守るべき資産として挙げられます。具体的なセキュリティ対策としては、PCへの侵入が多いマルウェア対策としてEDRの導入などが有効です。実際に7,000台にEDRを導入している当グループでは、感染のアラートは頻繁に上がっています。

ー CSIRTのような専門組織がない企業の場合、インシデント発生時に行うべき対応、および事前に準備しておくべきことは何ですか？

インシデント時には個人で判断するのではなく、対応部門への連絡を事前に会社内に周知することだと思います。

ー 今後、サイバー攻撃の脅威に対して、どのようにセキュリティを強化していくべきだとお考えですか？

システム面の強化を行います。マルウェア感染だけでなく、PCや携帯の紛失、メールの誤送信からも情報は漏えいします。企業の信用問題にも繋がると思いますので、従業員のITリテラシーの向上も重要だと考えています。

ー 中小企業では、CSIRTのような専門組織を置くことが難しいのが現状です。一人情シスとして、サイバーセキュリティ対策は何から始めるべきでしょうか？情シス担当へのメッセージをお願いします。

まず最初に取り組むべきは、社内の情報セキュリティに関するガバナンスを整理することです。これは、PCの紛失といった身近な事案やインシデントが起きた際に守るべき資産はどれなのかを考え、何がリスクとなり得るのかを明確にすることから始まります。次に重要なのは、定めたルールの目的を社内にしっかりと浸透させることです。ルールが形骸化しないよう、なぜそのルールが必要なのかを理解してもらうことが不可欠です。初期段階で高額なコンサルタントを頼る必要はありません。まずは自社で基本的なルールブックを作成することから始めましょう。

大元のルール作りとしては、現状の整理が重要です。保有する個人情報を洗い出し、何が不足しているのかを把握していくことから始めます。情シスチームに求められるスキルとしては、必ずしも資格は必須ではありませんが、開発やインフラに関する知識がある方が望ましいでしょう。ガバナンスの部分に関しては、総務や法務部門との連携も有効です。

ただし、一人情シスの場合、テクニカルな知識も持ち合わせている方が、より幅広い対応が可能になります。ルールを作る場合、まずは総務部門などが一人情シス担当として主体となることも考えられますが、セキュリティに対する強い危機感を持っている人が中心となってこれらの取り組みを始めることが最も重要と言えるでしょう。

いかがでしたでしょうか。さまざまなインシデント対応に取り組むUsirtの活動が、皆様の組織におけるセキュリティ対策強化の一助となれば幸いです。