世界38カ国・地域にグループ会社271社(2018年3月31日時点)を抱える東京海上ホールディングス(HD)は2015年4月にCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の「TMHD-CSIRT(Tokio Marine Holdings-Computer Security Incident Response Team)」を立ち上げた。グループ各社のCSIRTやセキュリティ担当者と1~3カ月に1度会議しながら、グループ全体のセキュリティ底上げに貢献している。

 東京海上グループではHDに先立って、東京海上日動火災保険と東京海上日動あんしん生命保険が2013年6月からCSIRT機能を設置。それ以降も日新火災海上保険やイーデザイン損害保険など国内外のグループ会社でCSIRTの設置やセキュリティ責任者の任命の動きが相次いだ。

 こうした中、2015年にHDでCSIRTを新設した目的について、TMHD-CSIRT長を務める東京海上HDの黒山康治IT企画部部長兼リスク管理グループリーダーは次のように振り返る。「M&A(合併・買収)で会社が増える中、サイバーリスクが大きくなってきた。世界の顧客に安心を届けるにはグループ全体でセキュリティ体制を強化する必要があり、それにはHD主導の取り組みが欠かせなくなった」。

東京海上ホールディングスのTMHD-CSIRTのメンバー。IT企画部リスク管理グループの山崎洋祐マネージャー(一番左)とCSIRT長を務める黒山康治部長(右から2人目)、東信一マネージャー(一番右)。左から2人目は、東京海上日動火災保険でCSIRT長を務める宮本寿郎IT企画部リスク管理グループリーダー
[画像のクリックで拡大表示]

組織・プロセス・技術の3本柱で守る

 TMHD-CSIRTは東京海上グループのセキュリティ推進の中心役を果たし、傘下に国内外のグループ会社のCSIRTが連なるイメージだ。HDの経営層と適宜やり取りして、外部の情報共有機関との窓口にもなる。

 平時の活動は大きくは2つ。「グループ会社のセキュリティ強化策の実施」と「脆弱性情報や攻撃の痕跡情報であるIoC(インジケーター・オブ・コンプロマイズ)を収集・分析し、グループ内に展開することによる能動的対応やプロアクティブ(主体的)な防御の推進」である。黒山部長は「セキュリティ対策は組織・プロセス・技術の観点で実施することが重要」と話す。

 前者は「グループ会社が何をどこまでやればいいのか」の基準を作った。これは「組織」や「プロセス」に通じる。さらに「技術」としてセキュリティ向上に向けたサービスや製品も提供する。グループ会社が自社のWebシステムに潜む脆弱性を診断できるサービスのほか、2017年秋からは国内グループ会社向けにセキュリティ共通基盤を提供し始めた。「例えばインターネットの出入り口を一本化して、入り口対策や出口対策をまとめて施せる。個別にやるより全体で守ったほうが確かだし効率的だ」と黒山部長は話す。

 基準と製品を提供して終わりではない。教育やモニタリングが大切として、各社からCSIRTのメンバーやセキュリティ責任者を集めた会議を、国内企業向けには3カ月に1回の対面会議(CSIRT会議)で、海外企業向けには1~2カ月に1回の電話会議(Security Sub Committee)で開催する。海外のほうが頻繁なのはセキュリティの成熟度にばらつきがあるからだ。会議では基準に沿って適切な対策が進んでいるかをチェックするとともに、脆弱性診断サービスや共通基盤を作る狙いなどを説明し、質問があればその場で解決する。海外はばらつきが多いため、「地域ごとにどんな対策が必要かを考える」という。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら