MB-SIRT へのインタビュー

91

92 で判断して活動するわけではない。

なお、情報システム部は、森ビル社内の情報システムについて運用管理だけでなく企画開発の機能も備え ている。全てではないが関連会社を含めた森ビル企業グループのIT に関連する業務を、一部予算を含め て集中的に担っている（ただし、森ビルが管理するビルの管理システムは別の部門が所管しているが、今 後は更なる連携が必要になると考えている）。

セキュリティインシデント発生時には、MB-SIRT は技術対応およびその支援を行う。必要に応じて、リ スク管理委員会や個人情報保護事務局、広報室などと連携する。また、技術的に高度な対応が必要になっ た場合は、外部の専門業者に委託している。

3.6.3. CSIRT活動の成果

3.6.3.1. 経営層への活動報告

リスク管理委員会を通じて技術対応や支援についての概要を活動報告として不定期に行っている。また、

入手した情報の対応の重要度によっては、情報システム部より、対応状況の報告を行うこともある。

3.6.3.2. 社内外に向けた発行文書

規程やセキュリティ情報等は、情報システム部から発信している。今のところMB-SIRTから発信してい る公開文書はない。

3.6.3.3. CSIRTにおける活動評価の指標

現時点で、CSIRTの活動を定量的に評価する指標は策定されていない。経営層には活動報告にて 技術対応や支援内容を共有している。経営層は、情報セキュリティを不動産業における物理セキ ュリティの延長線上に存在する必要不可欠なものと捉えているため、セキュリティに対する関心 は高い。

3.6.4. CSIRTメンバーへの教育・研修

3.6.4.1. インシデント対応演習などの実施

全社員を対象とする標的型メール訓練を実施している。ただし、CSIRTを対象としたインシデン ト対応演習は実施していないが、今後実施を検討している。

93

3.6.4.2. 技術者スキルの定量的指標

技術者のITスキルを定量的に評価する指標は現在のところ存在しない。

3.6.4.3. 人材育成

MB-SIRTでは、メンバーに対して、資格の取得や外部セミナーなどの受講を積極的に支援している。

しかし、取得すべき資格や受講すべきセミナーなどについて具体的な決まりはなく、参加の是非について は都度判断している。

3.6.5. CSIRTの体制やサービス、管理機能の見直し時期

3.6.5.1. サービス提供先や提供内容

情報システム部の予算計画のタイミングで見直している。

3.6.5.2. セキュリティポリシー等の文書

森ビルでは、全社規程の見直しを、年に一度実施するように通達があり、これに合わせてセキュリティ関 連の規程を見直している。また、これとは別に、情報システム部では、システム入替えのタイミングでも 随時、見直している。

3.6.5.3. 連絡体制

人事異動のタイミングで適宜見直している。隔週で開催されるリスク管理委員会でも見直される。

3.6.5.4. インシデント管理

MB-SIRT としては、情報システム部における記録としてインシデントを管理しているものの、現時点で

はツールを用いた管理はしていない。一般社員からの問合せ等を受け付ける外部委託のヘルプデスクでは、

自社開発したデータベースシステムを用いてインシデント管理が行われている。

3.6.6. まとめ

情報システム部が、ITシステムに関する企画から開発・運用までの全ライフサイクルを任されていて、技 術者のモチベーションが高い。そのため、MB-SIRTメンバーも運用中のITシステムの構造を熟知してお り、インシデント発生時も円滑な対応が可能になっている。

94