このページの本文へ

CSIRT キヤノンMJグループ18000人のサイバーセキュリティを 私たちが守ります Canon MJ-CSIRTはこうして生まれた! トピックス・イベントレポート

キヤノンマーケティングジャパン
CSR本部 CSR企画推進部
CSIRTプロジェクト マネージャー
川口晃司氏

CSIRT(Computer Security Incident Response Team:シーサート)とは、サイバーセキュリティに関連したインシデントの予防および発生時に対処する組織の総称であり、近年は日本国内でも社内にCSIRTを組織し、万一のサイバーセキュリティ脅威に備える企業が増えつつあり、キヤノンマーケティングジャパン(以下、キヤノンMJ)グループ内にも「Canon MJ-CSIRT」が組織されています。このワークショップでは、「Canon MJ-CSIRT」のメンバーのひとりである川口氏から、同組織が作られた経緯や位置付け、組織体制などが紹介されました。

Canon MJ-CSIRT

「Canon MJ-CSIRT」とは

「Canon MJ-CSIRT」が対象としているのは、「グループ内で管理しているITインフラや機密情報(個人情報や顧客からお預かりしている情報等を含む)等の情報資産」と「キヤノンMJグループが顧客に提供している製品・サービス、システム/ソフトウエア等」である。なお、製品・サービス、システム/ソフトウエアについては、あくまでも同社グループで修正や改善等のリスクコントロールできるものが対象です。

キヤノンMJグループの、サイバーセキュリティに対する企業としての対応指針は、政府の「サイバーセキュリティ経営ガイドライン」と「IoTセキュリティガイドライン」を主に取り入れています。

また、キヤノンMJグループ内には、経営層が参画するCSR委員会や品質向上委員会で情報セキュリティや品質のマネジメントを推進しており、「Canon MJ-CSIRT」がそれぞれの分野でのサイバー攻撃への予防・発生時の支援組織として活動を行っています。

  • CSR Corporate Social Responsibility

「Canon MJ-CSIRT」発足の経緯

CSIRTの発足検討を開始したのは2014年でした。当時、キヤノンMJでは既にISMS(情報セキュリティマネジメントシステム)やPMS(個人情報保護マネジメントシステム)の運用を行っていたことから、インシデント発生時の対応体制は整備されていました。しかし、サイバー攻撃に対しては事後対応がほとんどであり、川口氏によれば「サイバーセキュリティに関するグループ内へ事前の情報発信や意識啓発、技術動向調査は十分とは言えなかった」そうです。

2014年4月に発覚し世間を賑わせたOpenSSLの脆弱性問題(Heartbleed)は、Webサーバだけでなく、ネットワークに繋がるハードウェアやソフトウエアにも影響が及んだことから、グループ内での影響範囲の調査・対応に苦労しました。これを一つの契機に、今後同様の事態が発生した場合のスムーズな対応やさらに進化するサイバー攻撃に対応するべくCSIRTの組織化が具体的に検討されることになりました。

「Canon MJ-CSIRT」のインシデント対応対象

「Canon MJ-CSIRT」の主な役目は「サイバーインシデントのハンドリング」です。その範囲はサイバー空間上の、悪意のある攻撃者に起因して発生したインシデントが主な対象で、マルウェア感染はもちろん、社員による内部犯行による情報流出等といった事件も含まれます。なお、ヒューマンエラーに起因するメール誤送信などは、「Canon MJ-CSIRT」の対象外となっています(ヒューマンエラーによるインシデントは、ISMSやPMSの範疇で対応します)。

「Canon MJ-CSIRT」の組織体制

「Canon MJ-CSIRT」の主要メンバーは、専任でCSIRTを統括する事務局を中心に、CSR部門、IT部門、品質部門から選出されたメンバーが兼務する構成です。メンバーの人選においては、サイバーセキュリティの専門知識を備えている人が必要ですが、そういう人だけが集まっていればよいという訳ではなく、インシデントのハンドリングにあたって、経営層への報告や関係部門との連携、顧客等の外部組織との調整などが非常に重要なことから、「コミュニケーション能力も重視」(川口氏)といいます。

また、組織作りでは「CSIRTは100社100様」との考えから、コンサルタントなどを入れずに自分たちの組織や業種業態を鑑みながら行われました。なお、広報や法務部門は、インシデントの内容に応じて招集され、対応チームに加わります。

「Canon MJ-CSIRT」の活動内容

「Canon MJ-CSIRT」のインシデントが発生していない状態、つまり平時の活動は、監視、情報収集・発信、ルール策定・見直し、リスクアセスメント、教育・訓練といった、予防活動(事前活動)が中心です。

インシデント発生時、およびインシデント収束後においても、「Canon MJ-CSIRT」はあくまで支援組織であり、例えば、インシデントの収束にむけたハンドリングは行いますが、現場での顧客対応や障害対応の主体はそれぞれのインシデント発生部門が担います。

最後に川口氏は、今後もさらに重要性を増すサイバーセキュリティ課題に対して、CSIRTの活動も柔軟に変化・対応しながら、「グループ内インフラ」 および 「お客さまに提供する製品・サービス」 に対するサイバーセキュリティのリスク・被害を極小化するための活動に取り組んでいくと語り、ワークショップを締めくくりました。

セキュリティに関するお問い合わせ