会員一覧 ? Member summary

会員 (チーム) 情報

Rakuten-CERT

チームの正式名称 Rakuten Computer Emergency Response Team
チームの略称 Rakuten-CERT
所属する組織名 楽天 株式会社
設立年月日 2007-11-15
チームの Email アドレス
チームサイト  
所属組織サイト http://www.rakuten.co.jp/
加盟年月 2007 年 12 月

 

1. 概要
  Rakuten-CERT は、ネットショッピングをはじめとするインターネット総合サービスを提供している楽天株式会社 (http://www.rakuten.co.jp/) の CSIRT です。
2. 設立の経緯・背景
  Rakuten-CERT が正式に活動を開始したのは 2007 年末ですが、それ以前から CSIRT のようなセキュリティ対応体制は整備されていました。その一方で、楽天のセキュリティ対応体制の中心にある 「開発部システムセキュリティグループ (現:System Security Office)」 では、不審なアクセスを行なっているアクセス元の ISP に対応を依頼しなければならない事態など、自社単独での対応が難しいインシデントが今後増加していくであろうとの予想の下、そのようなインシデントに対応するための方策を検討していました。
   
3. 会社内における位置づけおよび活動内容
  Rakuten-CERT の特徴は、その中心となる部署が 「System Security Office」 であることが示すように、楽天グループが提供している自社開発の Web サービスを主な対象にしている点です。

具体的には、楽天グループ内で開発した Web サービスシステムの脆弱性などに起因するインシデントに対して、発生の未然防止、被害拡大の抑止、再発防止などを目的とし、楽天グループ内の開発部門をセキュリティの面で統括しています。このように Rakuten-CERT は楽天グループ内の 「コーディネーションセンター」 としての役割を果たす一方、自社開発の Web アプリケーションの脆弱性に対応するという点では、メーカーにおいて自社製品の脆弱性対応を行なう CSIRT である 「ベンダチーム」 のような機能も有しています。

Rakuten-CERT は 「System Security Office」 の常勤メンバーを中心に、楽天グループの様々なサービスの開発を担当する Development Unit のメンバーによって構成されています。また、緊急時には Development Unit の取締役と連携し、リスク情報がエスカレーションされ、意思決定される形になっていますが、あらかじめ決められた基準に従い、Rakuten-CERT 自身の意思決定によって作業指示が行なわれることもあります。

一方、Rakuten-CERT は社内教育に特に力を入れており、ものづくりの部署には脆弱性を作りこませないための厳しい教育を行なっています。