「CSIRT(シーサート)って何?」からのスタート
酒井真弓(さかい・まゆみ)氏。ノンフィクションライター。1985年、福島県生まれ。慶應義塾大学文学部卒業。アイティメディアで情報システム部に在籍し、エンタープライズIT領域において年間60本ほどのイベントを企画。2018年10月、フリーに転向。現在は行政から民間まで幅広く記事執筆、企画運営を行う。著書『ルポ 日本のDX最前線』(集英社インターナショナル) Photo by Kazan Yanamoto
まず、インターネットで検索すると、どうやら同様の被害がいたるところで起きているらしい。被害に遭った口座に関連するIPアドレスから他の口座へのアクセスが確認できたため、暫定的に口座を停止した。専門家の知恵を借りようと、取引先のセキュリティベンダーを呼んでみた。すると、「被害に遭った顧客のPCを預かることができればデジタルフォレンジックが可能だ」と言われ、顧客からPCを借りるためのルール作りからスタートした。他の銀行にもアドバイスを求めて駆けずり回った。どの銀行の担当者も仕事の手を止め、親身になって話を聞いてくれた。そして、手探りながらも事態は収束を見た。この経験が、セブン銀行の取り組みを大きく変えるターニングポイントとなった。
「当時、私たちが他行を訪問して驚いたのは、メガバンクをはじめ大きな銀行にはだいたいCSIRT を名乗る方がいらっしゃって、経験をもとに的確なアドバイスをくださいました。でも、この頃の私たちはCSIRTのスペルすら知らず、『シーサート』とカタカナでメモし、あとで検索するというところから始まりました」
CSIRT とは、企業組織のセキュリティを監視し、万が一セキュリティ侵害が発生した場合には、その原因や影響範囲の調査、封じ込め、および復旧作業を行うチームのことだ。そのCSIRT たちを介し、当時流行していたネットバンクを狙うトロイの木馬型マルウェア「Zeus」「Citadel」などという言葉も飛び交った。だが、これも2人にとっては知らない単語だ。その場で「ゼウス」「シタデル」とメモし、後で調べて理解していった。このあたりから、高い専門知識を要する領域に丸腰で足を踏み入れたことを自覚し始めた。とにかく少しずつ目の前の状況を把握していくしか道はなかった。
セブン銀行のポリスになれ
自分たちは非対面取引の新しい銀行――そう自負していたのに、外に出て初めて痛感した自分たちの遅れ。金融サービスは顧客の信頼なしには成り立たない。商品開発を担う安田と西井にとって、セキュリティの強化は急務となった。
サイバーセキュリティは、テクニカルなイメージが先行するあまり、企業ITの中でも特に敬遠されがちだ。しかし、報道されるさまざまな事案が示す通り、セキュリティ侵害や情報漏えいがビジネスに及ぼす影響は時に甚大だ。金銭的な被害や企業ブランドの毀損にとどまらず、業務停止、顧客対応の増大、人材流出など事業継続に直結するケースもある。
また、得体のしれない「敵」と戦わなければならないのもサイバーセキュリティならではだ。一体誰がサイバー攻撃を仕掛けているのか。サイバー攻撃の歴史を紐解くと、古くは技術に興味のある人間が道を外れ、愉快犯的に行う向きがあった。しかし、近年では、金銭や情報の窃取を目的とした攻撃が主流となり、収益性を追求するある種のビジネスとして組織化するケースも見られる。ハッカー集団、犯罪組織、社会的・政治的な主張を目的としたハクティビスト、国家が組織するサイバー攻撃部隊、そして、ネットで拾った攻撃ソフトウェアで遊んでみた子供たち……敵のスキルやスタンスが多岐にわたる、異種格闘技戦だ。そこに萌え、「三度の飯よりインシデント対応が好き」という人たちもいるが、できればサイバー攻撃などの事件には関わりたくないという人がほとんどだろう。セキュリティ専門外の商品開発担当者となれば尚更だ。
