「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実：情報システム担当者のための「突撃！ 隣のセキュリティ」（3/4 ページ）

[瀬古敏智，JPCERTコーディネーションセンター]

社内インシデント対応チーム、TOPPAN-CERT

　以上のような取り組みも含めて、凸版印刷では社内の情報セキュリティ対策全般を統括するための組織体制を整えています。具体的には、対策全般を統括する「情報セキュリティ管理推進部会」と、その下位組織として、2009年に発足した「ウイルス対策活動チーム」、2010年に発足した組織内CSIRTの「TOPPAN-CERT」があります。

　このうちウイルス対策活動チームは、「ウイルスログのモニタリング」「ウイルス対策の検討」「明らかにウイルスが原因のインシデント対応」などを担い、それ以外のインシデント全般への技術的な対応は、主にTOPPAN-CERTが担当しています。藤沢氏、池田氏、またICT統括本部 業務システムセンター 業務システム技術部 業務環境チーム 主任の庄司朋隆氏は、このTOPPAN-CERTのメンバーでもあります。

凸版印刷 ICT統括本部 業務システムセンター 業務システム技術部 業務環境チーム 主任の庄司朋隆氏

　TOPPAN-CERTは専任メンバーを持たないバーチャルなチームで、複数の部門から集まったスタッフで組織。「社内を熟知したメンバーが、日々情報セキュリティ関連の情報を集め、インシデントが起きたときやその予兆があるときに技術的な対応をするチーム」（庄司氏）となっています。

　設立および活動開始は「社内における技術対応の必要性の高まりと、世間的なCSIRT構築の機運」（池田氏）がきっかけとなったそうです。

　「情報セキュリティ管理推進部会が情報セキュリティ上の問題を議論する中で、技術的な検討事項が増えてきたのです。技術対応のチームが必要だという話と、世間一般にも『CSIRT』というものが出てきているらしいという状況が合わさり、立ち上げに至りました」（池田氏）

　設立時にはJPCERT/CCが構築を支援。また、TOPPAN-CERTは設立と同時に日本シーサート協議会に加盟し、他社のCSIRTとも連携して活動しています。

インシデントの「初期消火班」であり、「窓口」としても機能する

　TOPPAN-CERT設立による効果について、藤沢氏は「インシデントの初動が早いこと。われわれはいわば『初期消火班』です」と語ります。

　例えば、凸版印刷が提供する「顧客企業の販促キャンペーン用Webサイト」が改ざんの被害に遭った場合。顧客企業からの連絡が運用部門に伝わり、インシデントの可能性が高いと判断されると、すぐにTOPPAN-CERTに連絡が来る仕組みとなっています。

　「事業部門は、まず第一に『品質を上げよう』『コストを下げよう』という点に注力しています。そのような中で、膨大な情報セキュリティ関連情報を、各事業部門が常に把握しておくのは困難です。そこにセキュリティ専門チームであるTOPPAN-CERTが活動を始めたことで、情報セキュリティ面で『今、何が起こっているか』を迅速に把握できるようになりました。インシデントの影響範囲を調べ、対策を行い、顧客企業に説明し、必要に応じてきちんと情報を公表するという一連の対応の流れが、われわれが技術支援をすることでよりスムーズに行えるようになったのです」（藤沢氏）

　「社内のインシデント連絡窓口」として機能していることもポイントです。TOPPAN-CERTの設立以前は、ウイルス被害を除くインシデントに関して、明確な連絡窓口がなく、対応は各事業部門が独自に行わざるを得ない状況でした。しかしTOPPAN-CERTを設立して窓口機能を持たせたことで、インシデントの第一報や問い合わせを一元管理できるようになったそうです。

　「集まったインシデントの情報を整理し、当社としての対応ポリシーの制定が可能になったことで、顧客企業に対して正しい情報を適切な時期に発信できるようになりました」（庄司氏）。

　つまり、窓口の一元化によって情報が集約でき、インシデントに全社共通の対応ができる体制が出来上がったのです。これは大きな利点だといえるでしょう。また、TOPPAN-CERTは社内の窓口であると同時に、社外への窓口でもあります。

　「インシデントやその予兆に対応するには、『世の中で似たことが起こっていないか』『他社はどのような対策を取っているのか』を把握する必要があり、そのためにも社外との連携が必須です。以前からJPCERT/CCとも協力して社外と社内との橋渡し役をしていましたが、TOPPAN-CERTができたことで、そうした活動を格段にやりやすくなったと感じています」（庄司氏）

　例えば、東日本大震災の発生時、BCP検討の一環として「業務継続を優先する中、情報セキュリティをどこまで維持するか」を検討していた際も、日本シーサート協議会の会合など、CSIRTの活動を通じて知り合った他社の状況が有効な参考情報となったそうです。

　「CSIRTをやっていて本当に良かったと感じました。ともすれば社内ばかり見てしまう情報システム部門は、意識して外の世界に目を向けることが必要です。その点、TOPPAN-CERTの活動は本当に役立っています」（庄司氏）

　これらの活動によって、TOPPAN-CERTの社内での認知度は徐々に向上。ここ1〜2年で問い合わせが増え、「これから作るシステムの要件定義、これで大丈夫ですか」など、情報セキュリティに関する幅広い問い合わせが来るようになったそうです。庄司氏は「これはTOPPAN-CERTと関わったことがある社員が私たちの活動を好意的に捉え、口コミで広げてくれているからだと思います」と語ります。