I-SIRT へのインタビュー

88

89

インシデントが発生した場合、I-SIRT 事務局は発生部署や情報システム部の担当者に指示や助言を行う とともに、I-SIRTメンバーである関連各部と連携し、全社機関であるリスク管理委員会に適時報告する。

技術的に高度な対応が必要な場合は、外部の専門組織とも連携する。

3.5.3. CSIRT活動の成果

3.5.3.1. 経営層への活動報告

経営層も出席するリスク管理委員会への活動報告を半年ごとに実施している。これによりサイバー攻撃も 重大な事業リスクの一つであることが経営層にも浸透してきている。

3.5.3.2. 定期レポートの発行

リスク管理委員会への活動報告の他に、従業者の知識の向上を目的として、各部のIT セキュリティ担当 者向けに「ITセキュリティ通信」というレポートを月次で発行している。本レポートでは、標的型攻撃メ ール等サイバー攻撃の脅威や、セキュリティポリシーを守る重要性などを紹介している。

3.5.3.3. CSIRTにおける定量的指標

現状、I-SIRT 活動の定量的な評価指標はない。

3.5.4. CSIRTメンバーへの教育・研修

3.5.4.1. インシデント対応演習などの実施

社内向けの標的型攻撃メール訓練では、メールを開いてしまった際に自部門のIT セキュリティ担当者に 報告する等、エスカレーションフローを意識するように指導している。ITセキュリティ担当者から報告を

受け I-SIRT のメンバーが対象の現場に向かうといった本番を意識した訓練を実施した。訓練実施後、

I-SIRT 事務局に不審メールの報告が増加したなど、従業者のセキュリティに対する意識の向上を実感して いる。

3.5.4.2. 技術者スキルの定量的指標

現状では、技術者のスキルを定量的に評価する指標は存在していない。本業が「サービスを提供する」こ とである為、技術者スキルの定量的評価に重きを置いた活動はしていない。

3.5.4.3. 人材育成

人材育成の一環として、一般的なIT 系の資格取得に対する援助や支援制度は存在するものの、明確な I-SIRTとしての人材の定義に関する取り決めは現在のところない。I-SIRT 事務局にはITに関する業務経験

90

が少ない営業部門出身のメンバーもいるため、育成は中期計画を立て業務を通じて実施しているが、セキ ュリティに精通した人材の確保も課題と考えている。

3.5.5. CSIRTの体制やサービス、管理機能の見直し時期

3.5.5.1. サービス提供先や提供内容

年度ごとの予算確保のタイミングで人的、技術的、物理的にセキュリティ対応策を見直しているほか、状 況の変化に応じた見直しも適宜実施している。

3.5.5.2. セキュリティポリシー等の文書

I-SIRT 設立以前にも、情報システムに関する規程があったが、I-SIRT 設立後にセキュリティの項目を追

加した。また、従業者へ規程の周知を図るため、内容を分かりやすく解説した「情報システム安全管理ハ ンドブック」を作成・配布した。

3.5.5.3. 連絡体制

I-SIRT事務局は各部のITセキュリティ担当者を通じて情報伝達を行っている。連絡体制図は、人事異動

のタイミングで見直している。

3.5.5.4. インシデント管理

インシデント管理ツールなどは特に使用せず、Excelで管理している。また、OneNoteを使用し、インシ デントの対応状況を共有している。

3.5.6. まとめ

ホテル業として培ってきたリスク管理の経験から、特に「宿泊客の個人情報」が攻撃者の標的になるリス クが高く、守るべき対象であると認識している。セキュリティの対策は必須と考えているが、ホテルとし て、利便性の向上も重視して活動している。IT 知識に精通した人材の確保は課題であるものの、NCA の ワーキンググループや同業他社との連携を通して情報収集能力を高め、人的、技術的、物理的なセキュリ ティ対策が出来るよう強化している。

91