3つのセキュリティ機能を提供するANAグループ情報セキュリティセンター

　阿部氏の所属するANAグループ情報セキュリティセンター（以下、セキュリティセンター）は、品質・セキュリティ監理室内でセキュリティの品質管理、セキュリティインシデントへの対応、セキュリティの運用管理という情報システム分野の各機能を提供する部署で、また人的分野でもグループ各社にガバナンスを利かせたり、従業員教育を行ったりする役割を担当している。

　「ガートナー セキュリティ＆リスク・マネジメントサミット2015」で登壇した阿部氏は、まず情報システム分野の機能として「端的に言えば、セキュリティの品質管理はCSIRT（Computer Security Incident Response Team）、インシデントへの対応はIRT（Incident Response Team）、そして運用管理はSOC（Security Operation Center）という位置付けになります」と説明する。

「特に注目していただきたいのは、CSIRT機能の1つとして設定しているが、システム構築のための各種ガイドラインを作成および改訂することです。システム完成後に脆弱性が明らかになるのはよくあることで、それを防ぐために我々はシステム構築のためのマニュアルを作り、開発工程の中でチェックポイントをいくつか設けて、セキュリティがきちんと担保されているかを確認しています」

　さらにCSIRT機能としては、JPCERTコーディネーションセンター（Japan Computer Emergency Response Team Coordination Center：PCERT/CC）や日本シーサート協議会などを通じて最新の脅威動向に関する情報収集も行っている。

　次にIRT機能としては、手順化されたインシデント対応はセキュリティセンター内で、またアプリケーションやシステム基盤の担当者の判断が必要となる手順化できないインシデント対応については、その都度、各主管部署と協力しながら対応に当たっている。

　そしてSOC機能としては、インシデントの予兆分析と未然防止策の検討が挙げられ、また内部不正操作防止策の実施と観察、さらに不正発生時には内部調査も行う。

　一方、セキュリティセンターの人的分野の機能としては、セキュリティ関連のルールを設けて、それがきちんと維持できているかを点検し、従業員教育を施し、必要に応じて脆弱性などに関する情報も提供する。リスクの見える化や低減にも取り組み、グループからの情報セキュリティに関する問い合わせへの対応も行う。

「ルールを作って基礎を固め、運用に載せてチェックを行い、さらなる底上げを図っていくということで、人的分野については高いコミュニケーション能力が求められるところです」

セキュリティセンターの運用に求められる3つのスキル

　それではシステム的な対応と人的な対応を行う上で、具体的にどのようなスキルが求められるのだろうか。

「セキュリティセンターを運用していくために必要となるスキルは、大きく3つあります。それが知識、企画、コミュニケーションです」

　まず知識は大前提となるもので、セキュリティ全般の知識が求められる。これについては情報セキュリティスペシャリスト試験やCISSP（情報システムセキュリティ専門家認定）などを通じて獲得する。また一般的なIT知識も必要で、特に「ダークサイド」に関する知見も必要だ。

　加えて個人情報保護法やクレジットカード業界のセキュリティ基準であるPCI DSS（Payment Card Industry Data Security Standards）、著作権や外為法といった法律関連の知識も必要で、さらにはISMS（情報セキュリティマネジメントシステム）やリスクアセスメント手法などセキュリティマネジメントの知識も求められる。

　次に企画については、ポリシーやガイドラインを策定できる能力、教育内容を策定できる能力、IRTの対応能力が求められる。

　そしてコミュニケーションについては、エンドユーザや経営者に対してはIT用語を使わないで説明できる能力、逆に専門家とは専門用語を使って対話できる能力が必要となる。

「知識については、すべてを1人でカバーするのは難しいので、チームとして補完し合っていきます。また企画力については、実践で育てられたITスキルが必要で、IRTでの対応能力についても、実際の障害対応経験則が役に立ちます。コミュニケーションでは、マネジメント層から資金を調達しなければならないこともあるので、プレゼンスキルも重要です」

【次ページ】3つのグループに分類して、メンバーのスキル育成パスを作成