2017/04/26
ビジネス戦略セキュリティ

「セキュリティ室」新設から見えたサイボウズ流セキュリティマネジメントとは?

サイボウズは2017年1月、セキュリティ室を新設した。これは同社のセキュリティマネジメント全般を担う社内を横断する部署だ。開発部の仮想組織から出発し、現在は情報システム部門などと連携して全社のセキュリティ確保に目を光らせている。なぜサイボウズは独立したセキュリティ部署を設けたのか。その経緯と現在の取り組みについて、立ち上げを担当したセキュリティ室の伊藤彰嗣氏に聞いた。(取材・文:山際貴子)

サイボウズ セキュリティ室 伊藤彰嗣氏

サイボウズ セキュリティ室 伊藤彰嗣氏

製品の脆弱性指摘が契機 専門部署を設立

サイボウズが最初にセキュリティの専門部署を設立したのは2006年にまで遡る。外部の専門家から「製品の脆弱(ぜいじゃく)性情報の一部が開示されてないのではないか」と指摘されたのがきっかけだった。

いかし、当時は脆弱性について厳密な基準がなく、外部からの通報受付窓口がないため指摘者に対して適切な対応ができなかった。このことが社内で問題視された。これを受け、サイボウズでは製品の脆弱性に対応する「PSIRT(Product Security Incident Response Team)」を設置。PSIRTは、開発本部配下の仮想組織で、当時は開発部のマネージャーが兼任で担当していた。

その後、2011年にクラウドサービス「cybozu.com」の提供を契機に、サイボウズでは製品のインシデント(セキュリティを脅かす出来事)だけではなく、自社のインフラ基盤、他社の製品・サービスのインシデントの対応も迫られるようになる。この解決のため、同社は、サイボウズ版のCSIRT(Computer Security Incident Response Team:シーサート)となる「Cy-SIRT(サイサート)」を誕生させた。

部門横断の会議体を立ち上げる

サイボウズでは、セキュリティの守備範囲は、インシデント対応だけではなく、内部統制部が担当する社内のガバナンス(内部統制)や情報システム部が担当するシステム運用にも及ぶ。

しかし、開発部配下のCy-SIRTでは、部門にまたがる課題に対応するための権限がなく、スムーズな解決ができなかった。そのため、内部統制部、情報システム部のトップとCy-SIRTによる会議体「CSM(Cybozu Security Meeting)」を立ち上げた。

ただし、CSMは「意思決定は行わず、あくまで議論する会議体」とした。具体的には、セキュリティに関する課題を議論し、その内容について社内からパブリックコメントを募り、社員から疑問点、問題点が出てくれば再度CSMで議論。その結果を本部長会議に上げて最終的な承認を得るという仕組みだ。

CSMの仕組みと位置付け(サイボウズ提供)

CSMの仕組みと位置付け(サイボウズ提供)

こうした意思決定の枠組みとしたのは、議論を重んじる同社の企業文化が背景にある。

「ルールは策定する側に説明責任があり、運用する側に質問責任がある。ルールを策定する人は、『なぜこのルールが必要か』を説明しなければならない。また、そのルールを運用する人は少しでも疑問や不安な点があれば質問しなければならない。こうして全員からの承認を得る下地が作られてこそ、価値あるルールとなる」と伊藤氏は、理由をこう説明する。

見えてきた仮想組織の限界

CSMを中心とした意思決定フレームワークは2013年より運用を開始。ただ、その後いくつかの課題が浮き彫りになる。

例えば、「BYOD(Bring Your Own Device:個人所有機器の業務利用)」だ。BYODを導入する場合、ITに関する点、ガバナンスに関する点、業務生産性に関する点といった多方面からルールを検討し、システムに組み込み、業務運用に乗せる必要がある。

しかし、サイボウズ社内には組織を横断してルールを運用に組み込める人材が不足していた。また、ルールの検討が増大するにつれ、部門トップが兼任で実施するCSMの会議体で対応できる業務量ではなくなっていく。さらに、議論を重ねてルールを構築するスタイルでは時間がかかり、迅速な対応ができないことも深刻な問題になった。

CSMの課題解決からセキュリティ室が生まれる

CSMで噴出した課題をどう解決するのか――。サイボウズが出した回答は「新たな組織の設立」だった。そこで、仮想ではない独立した組織「セキュリティ室」の検討を開始。立ち上げメンバーの1人にCy-SIRTの中心的存在だった伊藤氏へ白羽の矢が立った。

セキュリティ室の設立に向け、伊藤氏は、まず組織のセキュリティ機能を見渡すためにセキュリティに関する具体的な業務内容を洗い出し可視化を行った。

社内部署の機能定義と関係図(サイボウズ提供)

社内部署の機能定義と関係図(サイボウズ提供)

そして、セキュリティ室にどの業務を担当して欲しいかを各部署からヒアリングを実施。その結果、組織を横断してセキュリティの確保を体系化するセキュリティマネジメント機能やセキュリティ教育という、これまで内部統制部が担ってきた部分を期待されていることが分かった。この結果を受け、伊藤氏らメンバーはセキュリティ室では6つの役割を定義した。

セキュリティ室の6つの役割(サイボウズ提供)

セキュリティ室の6つの役割(サイボウズ提供)

セキュリティ室は設立時には2名体制でスタート。人的リソースは限られていた。そのため、セキュリティ室はルール定義を主導する立場、各事業部はルール運用に組み込む役割という線引きを行った。また、CSMで実施していた週1回の定例会を止め、セキュリティ室がその都度で必要なメンバーを集めて会議を開催する形式に変更した。

一方で、製品に密接に関わるPSIRTの機能は開発部に残し、今までのCy-SIRTの機能をセキュリティ室が継承することにした。セキュリティ室を社内での位置付けでは組織を横断してルールの運用を支援することから、事業部には属さずCISO(最高情報セキュリティ責任者)である青野慶久社長の直轄組織とした。

サイボウズのセキュリティ体制(サイボウズ提供)

サイボウズのセキュリティ体制(サイボウズ提供)

SOC機能を担う情報システム部門との密な連携

独立部署のセキュリティ室だが、情報システム部門との連携は密に行っていると伊藤氏は言う。その連携について「イベントとインシデント」を例に伊藤氏は説明する。

サイボウズでは、インシデントは「顧客や自社に被害があること」と定義している。例えば、社員のPCへ不正なアクセスが発生したというイベント(出来事)があった場合、イベントの検知は情報システム部が担当する。一方、検知した不正アクセスで情報流出などの被害について解析する支援や対応方法を決定するのはセキュリティ室の役割になる。別の見方をすれば、SOC(Security Operation Center)機能が情報システム部門にあり、SOC機能を支援するヘルプデスクがセキュリティ室にあるイメージだ。

セキュリティ室設置後のセキュリティ体制(サイボウズ提供)

セキュリティ室設置後のセキュリティ体制(サイボウズ提供)

ただ、この体制には課題がある。セキュリティ室ではログを参照する権限がない。そのため、平常がどのような状態かを把握できず、インシデントの判定が難しいケースがあるからだ。「判定の精度を向上させるためにもイベントの検知、インシデントの判定・対応までプロセスを統合するのが望ましい状態。1~2年後に自社SOCを立ち上げる時は調達から関わりたい」と伊藤氏は話す。

現存部署を活用すれば専門部署は立ち上げられる

セキュリティ専門部署を独立した実組織とする意義について「組織が全社で認知され、セキュリティリテラシーが向上する効果がある」と伊藤氏は強調する。

ただ、一般にセキュリティ担当は、インシデントが起きた時が活躍の場になる。そのため、部署として組織された場合には「インシデント発生時以外には何をしているのか分からない部署」といった社内の風当たりが強くなりがちだ。

そうならないために「セキュリティに関する情報提供やセキュリティ教育など、平常業務のアウトプットに注力することで、常時ほかの部署から正しく認識してもらうことを心がけている」と伊藤氏は説明する。

IPAの「情報セキュリティに関するサプライチェーンリスクマネジメント調査」によるとクラウドサービスの導入時にセキュリティの情報収集を行ってない企業はわずか3%。企業はいずれかの部署で外部機関と連携し、セキュリティの情報収集を行っていると考えられる。

一方で、サイバー犯罪の巧妙化が進み、セキュリティ対策は、ますます重要性を増している。しかし、一般的に企業がサイボウズのようにセキュリティ専門部署を設立するにはコストやリソースが障壁になる。これに対して伊藤氏は「社内に今ある部署を活用すれば組織を作ることは可能になる。既存の機能を使うことでコストやリソースを最小限に抑えて、スムーズな立ち上げができる」とアドバイスする。

今後は内部不正リスク対応に取り組む

今後、セキュリティ室が取り組むのは内部不正の予防だ。サイボウズは情報共有を重視するため、機密レベルの高い情報が全社で共有している。

ただ、内部不正を防ぐためにアクセス制限をすると、情報共有が制限されてしまう。セキュリティと情報共有のレベルとの兼ね合いでどこを落としどころにするか。サイボウズにとっては時間のかかる問題になる。

この長期的な課題を解決するため「4年後ぐらいまでにはセキュリティ室を4~5人体制に増やしていきたい」と伊藤氏は意気込む。製品ベンダーで必要とされるセキュリティ人材は、ほかの業種とは求められるスキルや素養が異なる。そこで、サイボウズでは必要するセキュリティの専門知識を持つ人材を育成していく考えだ。

その先はどう考えているのか。「セキュリティ室は役割を終える可能性もある」と伊藤氏は話す。全社のセキュリティレベルが一定水準まで達したら、セキュリティ室のメンバーが専門知識を生かして事業部で業務を行うことも想定しているからだという。仮想組織から独立した実組織、そして、その先へ。サイボウズ流のセキュリティマネジメントの進化は続く。

ジョーシス編集部

「情シスライフをもっと楽しく!もっと幸せに!」をコンセプトに「情報システム部門=情シス」で働く人たちの生活全般を応援するユニークな記事やコラム、ニュースを発信する情報サイトです。

コメント欄を読み込み中

同じカテゴリの記事

2017/06/16
セキュリティ

1万ダウンロード突破のセキュリティ本「セキュリティ 7つの習慣」をMOTEXが作った意義

1万ダウンロード突破のセキュリティ本「セキュリティ 7つの習慣」をMOTEXが作った意義
IT資産管理・情報漏えい対策ツールを手がけるエムオーテックス(MOTEX)が制作したセキュリティ読本が人気を集めている。セキュリティについて7つの要点でまとめられた本は分かりやすい文とイラスト、無料PDF配布もあって、提供3か月で1万ダウンロードを突破した。なぜ、MOTEXは無料セキュリティ読本を作ったのか。その理由を聞いた。
2017/06/08
セキュリティ

【新人向け実戦情報セキュリティ講座】ダークウェブをご存じですか?

【新人向け実戦情報セキュリティ講座】ダークウェブをご存じですか?
SF映画の「スターウォーズ」といえばフォースのライトサイド(光明面)を使うジュダイの騎士とダークサイド(暗黒面)に魅入られたシスの暗黒卿との戦いです。フォースにライトサイドとダークサイドがあるようにインターネットにも光と闇があります。今月はその闇の部分「ダークウェブ」についての話です。
2017/05/18
セキュリティ

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表
セキュリティベンダーのファイア・アイは、年次で発行しているセキュリティレポート「M-Trends 2017」を発表した。レポートは日本を含むアジア太平洋、欧州、中東、アフリカ地域のサイバー攻撃について調査した統計情報。同社では攻撃グループの高度化が進んでおり、特に金融系を攻撃するグループではその傾向が顕著としている。