freeeの開発情報ポータルサイト

トップ > Advent Calendar 2025 > もはやセキュリティに「社内」と「社外」の境界はない。CSIRTとPSIRTを統合してひとつのチームへ

もはやセキュリティに「社内」と「社外」の境界はない。CSIRTとPSIRTを統合してひとつのチームへ

Advent Calendar 2025 セキュリティ 組織

ジェット旅客機のコクピット。右側の操縦席にはグリーンの白衣を着た男性医師がヘッドセットをつけて座っている。の副操縦士席には誰もいない
「飛行機に乗り合わせたたった一人の医者」をGeminiに描かせたら一人でジェット機の操縦席に座る医者になってしまった件

はじめに

こんにちは、freeeセキュリティチーム マネージャーのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2025の21日目です。昨日はreiyaさんの「新卒の歩きかた in freee」でした。

例年、このあいさつは「PSIRTマネージャーの」で始めていたのですが、先日とうとうセキュリティチーム全体が両肩に乗っかってきてしまいまして。せっかくなので、これまで5年以上にわたって別々に活動してきたCSIRTとPSIRTを合体して、ひとつのチームにすることにしました。

CSIRT(Computer Security Incident Response Team)は一般的にはその名のとおり、社内のコンピューターやネットワークのセキュリティを担うチームです。ただし、その職務範囲は組織によってかなり異なります。プロダクトと顧客データがPSIRT(Product Security Incident Response Team)に分離していた弊社の場合はそれ以外の部分、つまり(物理環境を含む)社内全体のセキュリティ、ガバナンス構築や従業員教育などを担務していました。SOC1やTRUSTeのような各種外部認証に関する活動もCSIRTですね。多くの場合、両チームは専門性が異なるので、一般的には分離することでより効率の高い取り組みができるようになります。

実際freeeでも、CSIRTとPSIRTは同じセキュリティチームでありながら、かなり異なる顔ぶれとカルチャーを持つようになっていました。ですから、ボスが変わったからといって、それだけでいきなり統合するのはいささか乱暴です。ですが、背景には統合しないと対応できない、freeeの事業変化があったのです。

BPaaS事業とAIが壊した「境界」

おかげさまで、freeeのサービスはターゲットであるスモールビジネスに広く受け入れられるようになってきましたが、それでも導入しているのは一部の「比較的ITに強い」企業が大半です。IT化に抵抗感のある企業にリーチするために、近年力を入れているのがBPaaS事業です。ようするに、freeeプロダクトのオペレーション自体をアウトソーシングし、導入・運用の障壁を下げようというサービスです。

これは非常にすばらしい取り組みなんですが、セキュリティ観点では実はかなり頭が痛い。従来のSaaS事業であれば、顧客データはプロダクトに閉じ込めて、従業員からはいっさい触れなくすることで堅牢に守ることができました。プロダクトセキュリティ、つまりPSIRTが担っていた業務です。

しかし、BPaaSではfreeeの従業員が直接お客様のデータに触れます。例えば、 オペレーターが「経理代行業務を行うためにお客様のデータを参照する端末」は、従来の定義ではCSIRTの管轄でしたが、顧客から見れば「プロダクト」そのものです。プロダクトセキュリティの領域が、一気に従業員やその操作端末、さらには社内ネットワークにまで拡大してしまいました。BPaaS事業への進出によって、PSIRTとCSIRTの境界があやふやになっています。

加えてLLM、AIの台頭も大きな変化の要因です。AI活用にともなうセキュリティは、従業員とプロダクトに分け隔てなく関係してきます。AIを取り巻く技術変化の潮流に追いつくのに、CSIRTとPSIRTでそれぞれリソースを割くのはムダでしかありません。

事業変化とAIの登場。これが、CSIRTとPSIRTの境界をあいまいにした原因です。

われわれは、飛行機に乗り合わせたたった一人の医者である

「じゃあ統合しよう」と言っただけでは統合できるものではありません。それだけではおそらく、内部的にはCSIRTとPSIRTが今までどおり、分離したままこれまでの業務を続けていくだけでしょう。

私がチームのメンバーにときおり話す「われわれは、飛行機に乗り合わせたたった一人の医者なんだよ」というメタファーがあります。飛行中の機内でCAに「お客様の中にお医者様はいらっしゃいませんかー!」って呼びつけられるあれです。セキュリティ屋はいつでも、こういう状況に放り込まれる覚悟をしていなきゃいけないよ、という意味で使います。

呼び出された医師は、たとえ専門が眼科でも心臓発作の対応をしなければいけません*1。同じようにセキュリティ屋も、自分の専門に閉じこもってはダメで、「いざとなればなんでもできる」ことを理想に掲げる必要があります。BPaaSやAIにかかわる複雑なセキュリティ要件への対応は、インフラ、アプリ、人的運用から法律まで、すべての知識を総動員しなければ解決できません。今回の組織変更には専門の壁を崩す、このメッセージを込めなければいけませんでした。

4つの「色」を持つサブチーム

とはいうものの、人はいきなり「なんでもできる」ようにはなりません。自身の専門性を深めつつ、少しずつ他の領域に踏み出していけるような、そんな組織を目指して、まずは4つのサブチームを編成しました。

🛡️ Blue Team(検知・防御)

  • 役割: 監視と初動対応のプロ。
  • 変化: 社内アラートもプロダクトアラートも、事業リスクという観点で横断的にトリアージし、守りを固める。

⚔️ Red Team(攻撃・評価)

  • 役割: 攻撃者の視点を持つプロ。
  • 変化: 社内インフラを足がかりにBPaaS業務を経由してプロダクトデータへ...といった、事業実態に即した複雑な攻撃シナリオを検証する。

📋 White Team(統制・教育)

  • 役割: ルールとカルチャーのプロ。
  • 変化: SOC1/2やISMS等の認証取得(BPaaS事業に必須)や、全社的なガバナンス強化。社内規定と開発ガイドラインの整合性を取る。

🤝 Purple Team(融合・相乗効果)

  • 役割: 旧CSIRTと旧PSIRTの架け橋。
  • ミッション: 異なるバックグラウンドを持つメンバー間の壁を壊し、知識移転を進める。RedとBlueの連携強化はもちろん、組織としての「One Team化」を推進する触媒となる。

ポイントは言うまでもなく、Purple Teamです。Purpleは主にセキュリティ訓練の文脈でBlueとRedの両方の特性を持つチームという意味で使われますが、今回は、青と赤、そして白を混ぜたパステル調の紫を意図しています。Purple Teamは他の3チームの間を取り持ち、さまざまな化学変化を意図的に起こすことで、今回の組織変更の目的を推し進めます。さらには、セキュリティチームと社内の各組織の間をも取り持って、セキュリティへの取り組みをさらに加速してくれることも期待しています。

おわりに

新しい体制になって、間もなく3ヶ月になろうとしています。まずはPurple Teamの主導でこれまで分離していたCSIRTとPSIRTの問合せ窓口を統合し、「セキュリティのことならなんでも、ここで聞けばOK!」という #ask-security チャンネルが爆誕しました。問合せには4つのチームが分け隔てなく対応し、お互いの専門知識を吸収しあう日々です。

さらに、AIにかかわるセキュリティ課題に元CSIRTと元PSIRTのメンバーが一体となって取り組んだり、チームをまたがった勉強会なども定期的に開催されるようになっています。チームメンバー一人ひとりが「たった一人の医者」になるための準備は、着々と進んでいます。

明日はそんな越境をみずから体現する、Blue Teamのyamaneさんが、AI時代の社内セキュリティ強化に携わった記録 をお話してくれます!

*1:近年、医師の応召義務はかならずしも応じなくてもいいように緩められています。そういう意味では、現代はセキュリティ担当の方にだけ応召義務が残っていると言えるかも知れませんね。