D2C企業でセキュリティ体制を立ち上げた話

お話する機会が多かったので、noteにまとめます。

はじめに

想定している読者・利用用途

• これからサイバーセキュリティ体制を整備・立ち上げようとしているセキュリティ責任者・担当者向けの参考事例として

• ISMS認証は取得してみたけど、次何すれば良いんだっけ？と考えているセキュリティ責任者・担当者向けの参考事例として

(※) 組織内にすでにしっかりとしたセキュリティ体制・組織があって、継続的に運用している組織・担当者向けではないです(釈迦に説法です)

注意事項

• 実在する組織で、実際にやったことをベースに書いています。

• ただ、そのまま書くのは好ましくない部分もあるので、ぼかして書いている部分、若干加工して書いている部分もあります。

• そのいう部分があることも認識して読んでいただけると嬉しいです。

• また、この記事の内容は、いずれも私の主観に基づいたものであり、組織としての主義・主張を代弁するものではないです。

企業の概要

• リアルプロダクトを企画・開発して、それを一般消費者向けにオンライン販売しています

  • 購入いただいたものはお客様の手元まで配送しています

• 従業員数は50人程度です

  • 業務委託の一部にもアカウント発行しているので、管理しているアカウントは〜100ID/サービスぐらいです

• ISMS認証は取得済みで、運用は社内リソースのみで行っています

何をしたの？

「サイバーセキュリティ経営ガイドライン Ver 2.0(*1)」を実現するために必要な要素・機能を包含した組織を「取締役会直轄の委員会型(*2)」として立ち上げました。
2022年10月頃にCTOから話があった時点では「属人的に行っているインシデントハンドリングを体制化したい(≒CSIRT)」ぐらいのニュアンスだったのですが、今後取り組むべきことやその方向性・整合性を考えて前述のようなすべて包含した組織として2023年1月1日付で正式にローンチしました(勝手にやっちゃいました。※経営陣の承認は得てます)

(*1) 当時はVer 3.0が公開されていなかったのでVer 2.0をベースにしています。いまならVer 3.0をベースにしてください。
(*2) 詳しくは「付録F サイバーセキュリティ体制構築・人材確保の手引き 第2.0版」のP14-15を参照

どんな委員会？

誰を巻き込んだの？(＝委員会メンバー)

下記のような人々を巻き込みました。

• CTO(ビジネス側のIT全般と、コーポレートITをちょっと見ている人)

• 企業経営やリスク管理の領域を管掌している役員

• コーポレートIT、ISMS責任者(＝私)

専任を置く予算はないのでいずれも本業と兼任です。ただし、経営陣の1/3を巻き込んでいるので意思決定は早いです。

主な活動領域は？

以下のとおりです。基本はサイバー空間ですが、ビジネスの特性上、商品の配送もあるので物理空間のセキュリティも活動領域に含めています。

• 情報セキュリティ・サイバーセキュリティの領域

• 個人情報保護の領域

• ＋地続きにある物理セキュリティやBCPも関連部署と協調して課題解決に取り組む

主な活動内容は？

組織全体としての整合性・課題の優先順位を意識しながら、活動領域においては下記を主導してます / その気持ちでいます。

• サイバーセキュリティ戦略や方針の策定

• 個人情報の保護

• ISMSの運営

• 社内CSIRTの統括(いずれはSOCも)

なぜそうしたの？(CSIRTだけじゃだめだったの？)

一言でいえば、「セキュリティ領域を、それ以外の領域の課題や整合性も含めて包括的に見れるチーム」にしたかった / 作ることがベストだと思ったからです。
サイバーセキュリティ経営ガイドラインで言うところの指示1〜3に該当する認識で、ISMS単体・CSIRT単体ではカバーしきれない領域だと考えています。資源(予算や人員)の確保についても、包含した形で活動することで確保しやすくなるのでは？という下心もあります。
また、ISMS、CSIRTには役割分担があると思っていて、下記のような両輪があることで仕組みがワークすると考えています。

セキュリティリスクマネジメント（ISMS)

指示4〜6に該当する認識です。
守るべき情報資産を特定し、そのリスクを評価し、リスクを許容可能な水準まで低減させるために必要な活動で、NISTサイバーフレームワークでいうところの識別(特定)・防御に該当する部分と考えています。
＝予防の認識です。

 (※) ISMSの中にもインシデント対応についての項はありますが、内容が薄いので具体的な部分はCSIRTに譲ってます。

(※) ちなみにISMS(ISO 27001)認証の取得・維持は必要か？という議論がたまにありますが、これは必須とは思っていなくて、大事なのは「リスクを特定し、許容可能な水準まで低減させる活動を継続的に実施していること」だと考えています。そして、この活動を実施するための手段・ベストプラクティスとして、ISMSがある認識です(＝目的ではない)

インシデントレスポンスとレジリエンス(SOC+CSIRT+BCP)

こちらは指示7〜8に該当する認識です。
最善最速でインシデントに対処し(＝狭義のCSIRT)、業務を復旧させる(広義のCSIRTの範囲＋BCP)ための活動で、こちらはNISTサイバーフレームワークの検知・対応・復旧に該当する部分と考えています。
＝異常の検知〜事後対応の認識です。

※補足

指示9〜10は今後の課題の認識です。
サプライチェーン全体のセキュリティ対策は、「サイバーセキュリティ経営ガイドライン Ver 3.0」でも言及があるように今後より一層取り組んでいくべき課題として考えています。
ステークホルダーなど関係者や他CSIRTとのコミュニケーション形成も順次やっていきたいと思っていて、今回noteにまとめたのもその理由の1つだったりします。

D2C企業でこのような活動は必要なの？

私も悶々と悩んだ部分ではありますが「必要」という結論に至っています。理由 / モチベとしては下記の通りです。

• (特に) お客様から個人情報をお預かりしているので、個人情報漏洩などでお客様に迷惑はかけたくない / 安心して買い物をしてほしいという気持ち

• 事業や従業員を事故や驚異から守りたいという気持ち

  • 個人情報漏洩の規模によっては会社 / 事業が立ち行かなく可能性も大いにありえる。結果、廃業に追い込まれることもあれば、その影響で従業員が露頭に迷うことにもなりえる

  • 個人情報以外の機密情報漏洩やその他事故であっても利益損害や賠償責任を問われる可能性もある

• ステークホルダーや供給者との関係でイニシアティブをとっていきたいという気持ち

これからやっていくこと / やっていきたいこと

• セキュリティ体制を立ち上げたとはいえ、まだまだ肉付け・ブラッシュアップは必要だと思っているので、セキュリティ以外の他課題と優先順位付けしながら改良・改善に取り組んでいきたいと考えています

• また、サプライチェーン全体のセキュリティ対策もしっかりと舵取りして行きたい気持ちです

最後に

セキュリティに対する取り組みなどについて、色々な方のご意見や事例をお伺いしたいので、いつでもお声がけください。主にTwitterに生息してます。

参考にした文献

セキュリティ体制関連

• サイバーセキュリティ経営ガイドライン Ver 2.0(経済産業省)

• 付録F サイバーセキュリティ体制構築・人材確保の手引き 第2.0版(経済産業省)

• NISTサイバーフレームワーク 1.1版(米国立標準技術研究所) ※リンク先はIPAの対訳版

• CISOハンドブック 業務執行のための情報セキュリティ実践ガイド(日本ネットワークセキュリティ協会 / 技術評論社)

• 中小企業の情報セキュリティ対策ガイドライン(IPA)

CSIRT関連

• CSIRTガイド(JPCERT/CC)

• CSIRTスタータキット Ver 2.0(日本シーサート協議会)

• CSIRT 人材の定義と確保 Ver.2.1(日本シーサート協議会)

• CSIRT 人材の定義と確保 Ver.1.5(日本シーサート協議会)

• CSIRT 構築から運用まで(日本シーサート協議会 / NTT出版)

• 今からはじめるインシデントレスポンス(技術評論社)

この記事を書くときに読んだもの・刺激を受けたもの

• サイバーセキュリティ経営ガイドライン Ver3.0(経済産業省)

• セキュリティコンプライアンスラジオ #7 サイバーセキュリティ経営ガイドライン3.0(SecureNavi 井崎さん)

• Twitterのフォロワーの皆さん