“役員も巻き込んで”危機意識を共有　ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT (1/4)

サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。

役員も巻き込んで危機意識を共有

ジャパンネット銀行 IT統括部サイバーセキュリティ対策室長 JNB-CSIRT 岩本俊二氏

　ジャパンネット銀行（JNB）は、日本初のインターネット専業銀行として2000年に開業し、早くからサイバーセキュリティに関するさまざまな取り組みを実践してきたことで知られる。

　2017年11月に行われた「ITmedia エンタープライズ ソリューションセミナー」では、同社のIT統括部サイバーセキュリティ対策室長を務める岩本俊二氏が、JNB-CSIRTの活動を通じて得られた成果や知見を紹介した。

　JNB-CSIRTは、ジャパンネット銀行が2012年から検討を開始し、2013年に立ち上げた組織で、2017年11月の時点で、11人のメンバーが所属している。岩本氏によれば、JNB-CSIRTは一部SOC（Security Operation Center）の機能も兼ねた形で活動しており、そこが特徴だという。

　「セキュリティ業界では『CSIRTとSOCは兼ねない方が良い』との意見もあるが、当行の規模では、それが難しいと判断した。現在では、SOCを一部兼ねたCSIRTを『ベストエフォート』で運営している」（岩本氏）

会場の様子。JNBの取り組みに熱心な視線が注がれた

　JNB-CSIRTでは、顧客の資産や情報、システムなどをサイバー攻撃から守ることをミッションとし、それを業務の優先事項と定めている。ベストエフォートな運営をするためには、例えば管理手続きをする際、個人のノウハウに依存することがないよう、決めごとを定義するなど工夫をしている。

JNB-CSIRTの手続概要。個人のノウハウに依存しないよう管理手順が決められている

　JNBでは脆弱性を判断する基準として、共通脆弱性評価システムのCVSSを使っている。同社では、「CVSSのレベルが7以上」「外部から攻撃可能」「他社で被害が発生」などの5つの項目で対応を判定しており、このうち4つに該当した場合に緊急対応するという。

　JNB-CSIRTの活動概要として、岩本氏は以下の6つを挙げる。

　岩本氏は「標的型メール訓練」について、「『開封率が低い方が良い』『開封の数値がだんだん減ってきた』というのを目標としている企業が多いようだが、私の考えではそれを目標にするのは少し違う気がする」（岩本氏）と指摘する。