国内外に子会社40社・連結従業員4万5972人(2016年9月30日時点)を抱えるSOMPOホールディングスは2015年1月1日、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)である「SOMPO ホールディングスCSIRT(SOMPO HD CSIRT)」を立ち上げた。チームはSOMPOホールディングスと損害保険ジャパン日本興亜の両方のIT企画部を兼任するメンバ-と、システム子会社のSOMPOシステムズのメンバーの合計8人で構成する仮想的な組織である。

 発足は急だった。2014年12月、SOMPOホールディングスIT企画部の中野孝一郎推進グループ課長代理ら4人が1カ月間で立ち上げたという。「正直に言えばセキュリティ対策チームのような前身となる組織は無かった。SOMPOシステムズはシステム基盤のエンジニアはいるものの、セキュリティ専門家はいなかった。(CSIRT立ち上げ支援の)コンサルタントを雇い、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)の『CSIRTスタータキット』などを参考に突貫で発足させた」。中野氏は当時をこう振り返る。

SOMPO HD CSIRTのメンバー。左から、SOMPOホールディングスIT企画部の中野孝一郎推進グループ課長代理、高田仁志システムリスク管理グループグループリーダー、山本岳企画グループ特命課長、SOMPOシステムズの佐々木徹郎サイバー対策室長
[画像のクリックで拡大表示]

経営層の強い危機意識で発足

 同社はPCにウイルス対策ソフトを導入し、ファイアウォールを使ってネットワークで防御するなど「従来型の対策」(中野氏)を敷いていた。標的型攻撃などが脅威を増してきた時期だが、特段、大きなインシデント(事故)があったわけではなかった。急ぎCSIRTを発足させたのは経営層の強い働きかけだったという。「『大手の競合やメガバンクの取り組みに比べて、当社は遅れている』と、経営層の危機意識が高かった」(IT企画部の高田仁志システムリスク管理グループグループリーダー)。

 SOMPO HD CSIRTの発足当時を振り返ると、金融庁が「金融機関に係る検査マニュアル」でCSIRTに言及し、金融情報システムセンター(FISC)も「金融機関等コンピュータ・システムの安全対策基準」でCSIRT設置に触れていた。2015年春には日本年金機構が標的型サイバー攻撃に遭い、101万人・125万件の年金情報が流出し、国会で取り上げられるなど社会問題となった。

 各種ガイドラインと社会情勢がサイバーセキュリティの高まりを求めていた時期であり、「経営層から『対策を急げ、いくらかかるんだ』と急かされた」(中野氏)。国内外の子会社40社を見ると、「従業員が数人にしかいない会社もあり、セキュリティレベルはまちまち」(高田氏)という状態だった。

 そこで技術的な対策をまず急いだ。2015年半ば、レベルを高める準備として、米連邦金融機関検査協議会(FFIEC)が策定した「FFIEC Cybersecurity Assessment Tool」で自社の対策状況をアセスメント。2017年3月までに10億円以上を投資し、各社の入り口対策・出口対策・内部対策を強化してきた。インターネットの入り口と出口を共通化し、SOMPO HD CSIRTや外部のSOC(セキュリティ・オペレーション・センター)で監視するなどの対策を施した。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら