前職でISMSコンサルをしてくれてた谷川さんだ！！！

製品やサービスを多くの企業ユーザに提供している大手ベンダーのNECが、どのように情報セキュリティに取り組み、インシデントに対応する態勢をとっているのか、について企業内CSIRTの運営に携わる2名の方にお話しいただきました。
―お二人がご所属の経営システム本部の概要や役割を、NECグループにおける情報セキュリティ関連の活動を中心に、教えてください。
谷川氏：経営システム本部は、NECの全社のIT戦略から社内システムの運用までを担当しており、その中にあるセキュリティ技術センター（STC）が、社内セキュリティインシデントの予防や対策のための技術支援などの全社的なセキュリティの対応を行っています。2000年7月に発足したセキュリティ技術センター(STC)は、セキュリティビジネスのコアとなるべく社内のセキュリティの有識者を集め、事業部門の中に設けた組織でしたが、2005年に経営システム本部に統合されて現在の形になりました。そのような経緯から、現在でも顧客企業等で発生したセキュリティインシデント等の解析・対応支援等も担当する、文字どおりの全社的なセキュリティに関する技術センターとなっています。
社内で発生するインシデントへの第一線での対応は、各事業部や関連会社がセキュリティ運用部門や担当組織を作って組織的に対応しています。当社の場合、官庁や社会インフラシステムからパーソナル事業/ISP事業まで、業務や業態も多岐にわたり、どの部門でも同じ方法で運用するというわけにはいかないので、細かい部分は各部門が個別のルールに基づいて対応します。しかし、これらの第一線の担当組織に対する情報提供や連絡、インシデント対応支援などは、経営システム本部のSTCが旗振り役となります。STCからの情報は、主にメーリングリストやポータルサイトを利用して行われています。
また、NECグループが出荷している製品の脆弱性を取り扱うPSIRT(Product Security Incident Response Team)もSTC内にあります。PSIRTは、2004年に発足したチームで、長谷部もそのメンバーです。 JPCERT/CCから提供される自社製品や共通コンポーネントに関する脆弱性情報は、まずこのチームが受け取り、NECグループ内の関連する製品開発部門や運用部門に連絡し対応を指示します。STC内には、インシデント対応を行うCSIRT(Computer Security Incident Response Team)というチームもあり、両チームを合わせて NEC-CSIRTと呼んでいます。
情報セキュリティに関連するところでは、経営システム本部内には、他に社内ネットワークやセキュリティの運用を担当しているNOC（Network Operating Center）部門やSOC（Security Operation Center）部門があり、社内・社外ネットワークのモニタリングや社内ユーザからの報告などを処理しています。

早期警戒情報フィールドレポート NEC-CSIRT