「シーサートって何？」――セキュリティ分野の素人2人がCSIRTを立ち上げるまで：ITmediaエンタープライズ セキュリティセミナーレポート

ITmediaエンタープライズ セキュリティセミナーでセブン銀行のCSIRT創設者の2人が、立ち上げるまでのエピソードを語った。

　商品開発畑の出身でリテールやデリバティブ取引については詳しくとも「Citadel？　Zeus？　それ何？」というほどサイバーセキュリティについてほぼ素人だった安田貴紀氏（ACSiON　代表取締役CEO／セブン銀行　7BK-CSIRTエグゼクティブアドバイザー）と西井 健二朗氏（セブン銀行　セブン・ラボ　リーダー）。その2人がどのようにしてセブン銀行のCSIRT「7BK-CSIRT」を立ち上げていったのか。

　「ITmediaエンタープライズ セキュリティセミナー」のランチセッション「セブン銀行 CSIRT創設者に聞く、セキュリティの経験はDXにどう生かせるか」では、ITmedia エンタープライズ編集部の宮田健の進行の下、7BK-CSIRT創設前後のエピソードを交えながら一連のいきさつを紹介した。

定期的に開催した「セキュリティ検討会」をベースに、恒常的なCSIRTを組織

セブン銀行およびACSiONの安田貴紀氏

　セブン銀行は全国に約2万5000台設置したATMでの取引に加え、金融サービスを展開しており、口座数は約200万に上っている。「非対面取引が中心でシステムへの依存度の高い金融機関なので、以前からセキュリティに対する意識は経営陣も含めて高かった」と安田氏は述べた。

　CSIRTの形は企業によってさまざまだ。7BK-CSIRTの場合はバーチャルな組織ではなく恒常的な組織として、決裁権限や予算も与えられた形で設置されている。特徴は、いわゆるシステム部門ではなくユーザー部門の1つである金融犯罪対策部の中に設けられていることだ。

　「われわれが守らなければならないのはお客さまの資産や情報なので、お客さまに近いところに置かれている」（安田氏）

　また「チームマーチャンダイジング」という考え方を取り入れ、セキュリティ技術者だけでなく、ATM開発を担うシステム担当者や商品開発部門の出身者など多様な人材で構成されていることも特徴だ。「商品開発で防げるところもあるので、テコ入れしやすいようにしている」と安田氏は述べた。

　現在7BK-CSIRTでは、サイバーセキュリティに関する情報の収集や連携、外部組織との連携の他、スキミングや組織的な不正口座開設といったさまざまなインシデント発生時の対応・ハンドリングを担っている。もう1つユニークな取り組みが「セキュリティ検討会」の運営だ。