ニュートンのCSIRT―NCiSIRTによるセキュリティ高度化への挑戦
~ゼロトラストネットワーク構築およびNIST171準拠の取り組み~

ニュートンのCSIRT―「NCiSIRT」とは

当社はリスクマネジメントコンサルティングサービスをご提供する中で、お客様の経営戦略からリソースマネジメント、サプライチェーンまで、幅広く機微な情報をお預かりしています。それは設立以来培ってきたお客様との信頼関係の上に成り立っていることであり、その信頼を損なうデータ漏洩を含むセキュリティインシデントの防止は当社にとって、最重要課題の一つであると自負しております。

そこで、当社では、昨今益々脅威が高度化しているサイバー攻撃や情報漏洩の脅威に立ち向かうためのサイバーセキュリティに特化したNCiSIRTを組織しています。最新の情報セキュリティ対策の中から当社の事業内容・規模・リソースに最適な手法を見出し、外部とも積極的に連携しセキュリティ対応を発展させ、強化に努める専門チームです。

NCiSIRTに込めた意味

NCiSIRTはサイバー攻撃に限らず、内部不正も含めたあらゆるセキュリティインシデントを対象としています。

CSIRTの「C」にはコンピュータやセキュリティという意味がありますが、それではサイバー空間からの攻撃に限定する形となることから、敢えてCを除き、SIRTという名称を冠しました。

N=Newton、Network
C=Consulting、Cyber、Computing
i=Information

S=Security
I=Incident
R=Response
T=Team

サイバーセキュリティに加え、物理セキュリティも対象とする–––「NCiSIRT」の名称には、その姿勢を表す意味を込めています。

対象範囲

NCiSIRTの対象は、セキュリティ基本方針にも示しているとおり、以下の観点から範囲を特定しています。

  • ヒトの観点:雇用形態に関わらず弊社にて従事する方
  • データの観点:取引先から預かるデータを対象とする
  • 組織の観点:自組織および対象データを預けた委託先・サプライチェーンも含む
  • システムの観点:自組織内で対象データを保管するシステム

NCiSIRTの体制

以前、当社には情報セキュリティを担当するISMSチームと、ITシステムの運用・保守等を対応するITチームの2チームが存在していました。
しかしながら、両チームは密接に連携すべきであることから、両チームをCSIRTメンバーとして統合し、経営層の監督責任として、CISOが全体を管轄する責任者として任命する体制となっています。

また、NCiSIRTの体制に広報や法務を含んでいないのも理由があります。当社の企業風土として、密な情報連携が根付いており、重大インシデントは初期段階から広報や法務も含め情報が迅速に共有されます。そのためNCiSIRTはあくまで初動対応を迅速に行うことに専念し、経営にインパクトの大きい重大インシデントは、速やかに法務や広報も含めた全社的な有事体制である危機対策本部に引き継ぐことを危機対応方針としています。

最後にNCiSIRTが直接管轄としないITシステム群は都度システムオーナーを任命し、システムオーナーの責任のもと、セキュリティの維持に努めることとしています。

サイバーセキュリティ体制人員の成長・育成計画

先に示した体制の対象者がその役割・責任において求められる適切なセキュリティの力量を身につけるために、セキュリティ研修、サイバー演習、標的型メール訓練、Eラーニングなどを行っています。

対象者 役割・責任 求める力量
経営陣
  • CISO等が立案する戦略・施策等の最終承認
  • 自ら組織の模範となるセキュリティ行動の実践
  • 正しくセキュリティ対策をするための最新セキュリティトレンドの理解
  • セキュリティの一般常識(関連法規制、用語、社内ルール、自身の役割等)の理解
  CISO
  • セキュリティ基本方針の立案・見直し
  • セキュリティ戦略・施策の立案
  • 組織としてのセキュリティ意識の醸成・育成
  • 重大インシデント発生時の対応責任者(インシデントレベルに応じた対策本部への引継ぎ)
  • ステークホルダーに説明可能なセキュリティへの投資判断
  • 最新のサイバー攻撃手法への深い理解
  • 投資判断を行うための社内業務の理解
  • 経営や会計、リスク分析等のビジネススキル
  • 組織横断で戦略遂行を実現するコミュニケーションスキル、リーダーシップ
NCiSIRT
メンバー
  • セキュリティ戦略・施策の具体化・導入
  • インシデント予兆のモニタリング・検知
  • インシデント発生時の暫定対処・復旧対応
  • セキュリティ予算の立案
  • システムオーナーやシステム利用者への教育
  • ISMSやNIST等への準拠対応
  • 各種規程・手順書類の見直し
  • 最新のサイバー攻撃手法への深い理解
  • 最新のIT製品・サービスの知識
  • インシデント対応を行うための知識・経験(ログ・SIEM解析、マルウェア解析、データ・システム復旧等)
  • 組織横断でセキュリティ戦略・施策を推進するための折衝能力
  • セキュリティ戦略の説明や研修等に求められるプレゼンテーションコミュニケーション能力
システム
オーナー
  • 担当するシステムのセキュリティに関する契約事項の把握
  • 担当するシステムのセキュリティ施策の管理
  • セキュリティの一般常識(関連法規制、用語、社内ルール、自身の役割等)の理解
  • システムオーナーに求められる社内ルールの理解
システム
利用者
  • 期待される標準レベルのセキュリティ知識を備え、企業価値向上に寄与することができる。
  • セキュリティの一般常識(関連法規制、用語、社内ルール、自身の役割等)の理解
  • 業務従事者に求められる社内ルールの理解

活動概要

セキュリティ基本方針に基づく運用として、平時、有事対応として、主に以下の活動を実践しています。

平時対応 有事対応
  • IT・セキュリティ戦略の立案
  • リスクアセスメントやリスク対応に係るPDCA活動
  • ユーザの利便性向上への貢献
  • 社内セキュリティ研修やサイバー演習
  • 委託先・サプライチェーン管理
  • 脆弱性情報収集
  • セキュリティパッチ等の対応
  • ネットワーク機器、エンドポイント端末における攻撃状況やマルウェア感染状況のログの確認
  • ベンダーコントロール、など
  • インシデント発生時のトリアージ
  • インシデント発生時の危機対策本部との連携に基づく対応
  • インシデント根本原因の調査と再発防止策の策定、など

CSIRTの高度化への挑戦

NCiSIRTは数年前からゼロトラストネットワークの構築とCSIRTの高度化対応としてのNIST SP800-171への準拠に取り組んでいます。

【ゼロトラストネットワークの構築】
ゼロトラストネットワークは必要な場所から必要なデータにアクセスでき、必要でないデータにはアクセスできない、という手法です。
クラウドオンリーという方針のもと、コロナ以前から構築に着手しています。今ではセキュアかつ柔軟な働き方を実現するための源泉となっています。

【ゼロトラストネットワークの考え方】

ルール・プロセスを整備するとともに、EDR、CASB、SASE、IDaaS、SIEMなどの対策を数年がかりで段階的に導入する形でゼロトラストネットワーク環境を実現しました。今後はさらにオペレーションの自動化と遠隔運用保守環境を磨き上げ、NCiSIRTメンバーを含め、コンサルタントをはじめとする従業員が柔軟に働ける環境に貢献していきます。

【NIST SP800-171への準拠】
もう一つの高度化への挑戦がNIST SP800-171への準拠です。 「171」のRevision2が示す14の分類は、以下のように大きく人的セキュリティ、技術的セキュリティ、物理的セキュリティに分けられ、バランスよくセキュリティの対応が求められています。

単純にセキュリティ・製品サービスを購入して準拠できるわけではなく、人的セキュリティの範疇であるスキルやルールの整備が必要です。

【NIST SP800-171の14ファミリー分類】

当社も取り組み始めた当初は「171」の14ファミリーに紐づく110のセキュリティ要件のうち、対応できていたのは7割適度でした。以降、数年をかけて段階的に投資やルール整備、教育等を行い、171の準拠を公表できるレベルに至りました。(2024年1月現在)

今後「171」も定期的に更新されていくことから、この準拠レベルを維持できるよう、NCiSIRTを中心に運用していきます。

担当者の声

当社がNCiSIRTを設立したのが2016年で、その対応内容も年々、サイバーセキュリティのトレンドに合わせ進化させてきました。

当初はISMSを主軸に据え、1年間の認証サイクルに合わせて活動していましたが、現在の活動はよりアジャイル的になっています。その理由がセキュリティの変化スピードです。

特にサイバーセキュリティのトレンドは変化が激しく、日々様々な企業がインシデント被害に遭っていることもあり、必要な投資などは年初に予算化はするものの、都度必要に応じて追加申請したり見直したりしています。

経営陣も予算ありきではなく、リスクありきでの判断を常とする意識となりました。

また重要なのがセキュリティの高度化です。
セキュリティの領域はプライバシーと密接につながり、AIをはじめとするDXとも深く連携し、さらに幅広いものとなっています。当社はセキュリティの対象領域を「守るべきデータがどこにあるか」という視点にシフトチェンジしました。守るべきデータを取り扱うのが派遣社員であろうが、海外のサプライチェーン組織であろうが責任を持って守る、という大前提のもと、NIST SP800-171への準拠活動に踏み切りました。

また、この考え方はゼロトラストネットワークとの親和性も高く、コロナ以前から取り組んでいた「ゼロトラストネットワーク構想」もようやく実現し、セキュリティの効果にようやく一定の答えが見出せたように思っています。

セキュリティを高度化したことで変わったかといえば、体制に大きな変更はありません。
ただし実効性には大きな効果があったと実感しています。それはNCiSIRT設立にあたり明確に以下の狙いを打ち出したためです。

当社は事業規模の拡大とともにお客様の重要な情報をお預かりする機会も飛躍的に増しています。
お客様はもちろん、取引先ともノウハウを積極的に共有し、一緒にセキュリティレベルを高めていきたい、そういう意図があります。

チーム一丸となって、柔軟に、妥協せず、本気で取り組む。
当社の仕組みなどもご興味があれば、積極的に開示します。ご興味のある方はぜひご連絡下さい。情報交換して一緒に真に役立つCSIRTを作り上げていきましょう。

2024年1月

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる