「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実：情報システム担当者のための「突撃！ 隣のセキュリティ」（1/4 ページ）

サイバー空間の脅威から自社を守るために、情報システム担当者はセキュリティ対策の在り方を常に考える必要がある。本連載ではJPCERTコーディネーションセンターの情報セキュリティアナリスト、瀬古敏智氏が企業の情報セキュリティ対策事例を取材。エキスパートの視点から取り組みのポイントを分かりやすく解説する。

[瀬古敏智，JPCERTコーディネーションセンター]

情報セキュリティ上の脅威から自社を守るために

　企業組織の情報セキュリティを取り巻く状況は、目まぐるしく変化しています。攻撃者の目的や手口が複雑化する一方で、守るべき環境は多様化し、それに伴いリスクは増大の一途をたどっているといえるでしょう。

　例えば、世間一般でも大きな話題になっているネットバンキングの不正送金事件は、警察庁の発表によると2013年の被害件数が1315件、被害額が約14億600万円で過去最大の規模となりました。

参考リンク：平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について（警察庁）

　Webサイト改ざん件数の激増も目立ちます。JPCERTコーディネーションセンターが受領したWebサイト改ざんの報告件数は2013年、年間の合計件数が7409件と、2012年の1814件の4倍以上でした。2013年4月ごろには、パスワードリスト攻撃によるWebサイトへの不正ログインも多発しました。

参考リンク：インシデント報告対応四半期レポート（JPCERTコーディネーションセンター）

　このような状況の中、増加傾向にあるWebベースの業務システムを管理するITエンジニアの皆さんにとっても、情報セキュリティ面での責任が増しているのではないでしょうか。

　私の所属するJPCERTコーディネーションセンター（以下、JPCERT/CC）は、インターネットを介して発生する侵入やサービス妨害などのコンピューターセキュリティインシデント（以下、インシデント）に関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行い、被害の最小化を図ることを目的に活動しています。

　その中で私が担当している業務の一つに「日本シーサート協議会」の事務局運営があります。日本シーサート協議会は国内のCSIRT（Computer Security Incident Response Team：シーサート）のコミュニティです。CSIRTとは、インシデントへの対応や対策を行う専門チームのこと。企業においても、情報セキュリティ上の脅威から自社を守るため、企業内部の情報セキュリティ問題に対応する「組織内CSIRT」を設置する例が増えています。

　この日本シーサート協議会には、主に企業の組織内CSIRTの方々が参加され、インシデント発生時に迅速に適切な対応が取れることを目指し、インシデント情報の共有やトレーニングなどを行うことで、共通の課題の解決に取り組んでいます。

　私は情報セキュリティアナリストとして、これらCSIRT関連業務などを通じ、多くの企業の情報セキュリティ担当者にお会いする機会があります。そうした中で日々実感するのは、サイバー空間の脅威から自社を守る上では、社内の状況を把握するのはもちろんのこと、やはり他社の状況や対策を知って参考にする、必要に応じて連携するなどの取り組みが重要だということです。

　そこで本連載では、自社の情報セキュリティを守るITエンジニアの皆さんの一助としていただけるよう、さまざまな企業の情報セキュリティ担当者にお話を伺い、その取り組み事例をアナリストの視点で分析し、現実的な対策のポイントを紹介していきます。安全かつ効率的なビジネス・システムの運用設計を考える上で、ぜひ参考にしていただければと思います。

　今回取り上げるのは凸版印刷株式会社（以下、凸版印刷）の事例です。古くから印刷業で知られる大企業における情報セキュリティ意識、具体的な取り組みとはどのようなものなのでしょうか？――同社で情報セキュリティの向上に取り組む、3人の担当者にお話を聞きました。