チームの正式名称 | Rakuten Computer Emergency Response Team |
---|---|
チームの略称 | Rakuten-CERT |
所属する組織名 | 楽天グループ株式会社 |
設立年月日 | 2007-11-15 |
チームの Email アドレス | |
チームサイト | |
所属組織サイト | https://corp.rakuten.co.jp/ |
加盟年月 | 2007年12月 |
1.概要 |
---|
Rakuten-CERT は、ネットショッピングをはじめとするインターネット総合サービスを提供している楽天グループ株式会社 (https://corp.rakuten.co.jp/) の CSIRT です。 |
2.設立の経緯・背景 |
Rakuten-CERT が正式に活動を開始したのは 2007 年末ですが、それ以前から CSIRT のようなセキュリティ対応体制は整備されていました。その一方で、楽天のセキュリティ対応体制の中心にある 「開発部システムセキュリティグループ (現:Cyber Security Defense Department)」 では、不審なアクセスを行なっているアクセス元の ISP に対応を依頼しなければならない事態など、自社単独での対応が難しいインシデントが今後増加していくであろうとの予想の下、そのようなインシデントに対応するための方策を検討していました。 |
3.会社内における位置づけおよび活動内容 |
Rakuten-CERT の特徴は、その中心を担ってきた部署が 「開発部システムセキュリティグループ」であることが示すように、楽天グループが提供している自社開発の Web サービスを主な対象にしている点です。 具体的には、楽天グループ内で開発した Web サービスシステムの脆弱性などに起因するインシデントに対して、発生の未然防止、被害拡大の抑止、再発防止などを目的とし、楽天グループ内の開発部門をセキュリティの面で統括しています。このように Rakuten-CERT は楽天グループ内の 「コーディネーションセンター」 としての役割を果たす一方、自社開発の Web アプリケーションの脆弱性に対応するという点では、メーカーにおいて自社製品の脆弱性対応を行なう CSIRT である 「ベンダチーム」 のような機能も有しています。 Rakuten-CERT は 「Cyber Security Defense Department」 の常勤メンバーを中心に、楽天グループの様々なサービスの開発を担当するメンバー、特に開発チーム内でセキュリティ業務に従事するSecurity Championによって構成されています。また、緊急時には各開発部門の取締役と連携し、リスク情報がエスカレーションされ、意思決定される形になっていますが、あらかじめ決められた基準に従い、Rakuten-CERT 自身の意思決定によって作業指示が行なわれることもあります。 加えてRakuten-CERT は社内教育に特に力を入れており、ものづくりの部署には脆弱性を作りこませないための厳しい教育を行なっています。 |