Sansan-CSIRTスレットリサーチャーの河村です。

CSIRTとは、「Computer Security Incident Response Team」の略で、情報セキュリティーに関する組織内の消防団のような組織です。最近は、各社で続々とCSIRTを立ち上げているので、一度はこの略称を聞いたことがあるという人も多いのではないでしょうか。

これからしばらくの間、このブログを通して、Sansan株式会社のCSIRT「Sansan-CSIRT」がどんな活動をしているのか、紹介していきたいと思います。

さて、初回となる今回の記事ですが、まずは私たちがどのような思いでCSIRTとして活動しているのか、その思いについてちょっと記してみたいと思います。

ガチガチのセキュリティーには意味がない

まず、Sansan-CSIRTは、ガチガチに敷かれたセキュリティーには意味がないと考えています。いくらガチガチにしたところで、それに甘んじてしまえば、社員のセキュリティー意識が希薄になります。万が一、セキュリティーに穴を開けられたときに発見が遅れるなど、ガチガチに敷いたことで、かえってセキュリティーレベルが落ちてしまう結果も考えられます。

それに、当社ではたくさんのエンジニアが働いています。便利なサービスを使えない環境では、彼らをはじめとして社員の生産性は高まりません。「便利なサービスを使って、便利なサービスを作ってほしい」、そんな思いが根底にあります。

なお、企業理念である「Sansanのカタチ」では、Premiseとして “セキュリティと利便性を両立させる” と掲げています。このSansanのカタチは、「Sansanのカタチカード」として、社員全員が携帯しています。

“セキュリティと利便性を両立させる”ための体制

Sansanでは、セキュリティーと利便性を両立させるために、一般的な対策は一通り実施しています。アンチウイルスソフトウェア、Webフィルタリング、ワイヤーロック、プライバシーフィルタなどですね。

社員や非常勤の入力オペレータなど、雇用形態や職種に応じて、アクセスできる情報を制限することも当たり前に実施しています。さらに、もしウイルス感染などが起きても、証拠保全やクリーンアップが迅速に行えるような体制も整えており、各種ログを取得して社内のアクセス情報を見える化することなども実施しています。

ただし、CISO（Chief Information Security Officer：最高情報セキュリティー責任者）やSansan-CSIRTがどんなにセキュリティーのことを考えていても、それをきちんとプロダクトや自社内で反映できていなければ、それは絵に描いた餅です。まったく意味がありません。

そこで、Sansanではセキュリティータスクフォースという、各プロダクトの開発部門や社内システムを管理する部門のエンジニアが所属する仮想的な組織を設けています。

このセキュリティータスクフォースとCSIRTのメンバーとCISOは、毎月1回、業界の情報や社内のセキュリティー施策についてディスカッション・進捗報告を行っています。この2つの組織とCISOのことを合わせ、Sansanのセキュリティーに関する取り組みを「Sansan Security Scrum (略称：S3)」と称して、その活動に取り組んでいます。

Sansan-CSIRTは、これからもセキュリティーと利便性を両立すべく、日々活動していきます。

text: Sansan-CSIRTスレットリサーチャー 河村辰也