楽天のセキュリティ開発プロセスの改善は、筆者らのセキュリティ専門部署と、各開発グループの兼務担当者からなるチームが連携して進めている。筆者らは、インターネット上の新たな脅威や脆弱性の情報を常に収集し、現行システムへの影響や起こり得る被害について分析し、対策方針を示す役割がある。これを現場にフィードバックするのが、各開発グループの兼務担当者である。この組織全体を「Rakuten-CERT」と呼んでいる(図12)。
図12●楽天全体のセキュリティ対策を推進する「Rakuten-CERT」
セキュリティの専門組織と、各開発グループの兼務担当者が連携して対策を進める
[画像のクリックで拡大表示]
