膨大なログを独自の分析方法で監視。
すみやかに対応体制を確立する。
ネットワークやコンピューターに不正侵入し、データの詐取や改ざんをしたり、システムを機能不全に陥らせることもあるサイバー攻撃。近年では、企業のお客さま情報の流出など深刻な被害も生んでいる。NTTネオメイトのCSOC(サイバーセキュリティオペレーションセンタ)は、NTT西日本グループのネットワークとサービス、お客さま情報のセキュリティを担う組織。独自の分析方法でサイバー攻撃を発見したり、脆弱性(セキュリティホール)情報をいち早く入手し、ウィルス感染などから社内ネットワークをまもったりするのが仕事だ。また、NTT西日本グループのサービスに影響するインシデント(情報セキュリティ等を脅かす事象)発生時には、すみやかにインシデントレスポンス体制を確立。関連部署と情報共有を行い、対処方法を協議のうえで対策を行っている。
CSOCの監視分析チームに所属する清村と西は、ある日、膨大なログのなかに“大量の不正アクセスの試行”を発見。すぐさまインシデントレスポンスチームの大木に連絡し、わずか5分後には対応体制を確立させた。
大木 浩司
清村 武功
西 敦史
インターネットが普及して以降、コンピューターやネットワークのセキュリティを脅かす、ウィルス感染、不正アクセスやサーバーなどへの不正侵入、データの改ざんや情報漏えいなど、さまざまなインシデントが多発するようになった。CSOCは、NTT西日本グループ内のインシデント発生時に、被害範囲を最小限に食い止めるためにつくられたCSIRT(Computer Security Incident Response Team)組織。インシデントレスポンスチームに所属する大木は、CSOCの役割を「まもるだけではなく攻める対策もする」と説明する。
大木
「セキュリティをまもる」というと、外部からの攻撃に対して防御するというイメージを持たれると思いますが、我々は事前の対策にも力を入れています。脆弱性情報の入手はもちろん、世の中の動向を分析した結果をもとにセキュリティ機器の設定を導入。攻撃を未然に防ぐ環境づくりも行っています。
清村と西は、膨大なログから相関関係を洗い出し、独自に分析方法を確立している。この日、ふたりが発見したのは大量の“不正アクセス試行”だった。あまりに大量かつ執拗な攻撃で、不正アクセスが成功している可能性があることから、すぐに、大木のもとに連絡が入りインシデントレスポンス体制が立ち上げられた。
大木
不正アクセスの方法にもいくつかパターンがあり、愉快犯の場合もあれば、システムを破壊しようとする強い意志を持った攻撃である可能性もあります。今回は、NTT西日本グループ内で運営する会員制サイトのお客さまアカウントを狙った不正アクセス行為でした。こうしたケースでは、万一アカウント流出の痕跡が発見された場合、法律的な対処も必要になるので法務部にも報告を行う必要が出て来る場合もあります。
このときは、対応体制を確立すると同時に、関連するサービス主管に連絡を取り、実際に起きている事象を共有。実際に不正アクセスが成功していないか状況を確認していただき、CSOCの検知状況とつきあわせて慎重に判断を行いました。
「不正アクセスの可能性がある」という情報は、NTT 西日本の広報室、経営企画部、さらには社長と副社長にまでエスカレーション。対応方法を含めて事前に報告を行ったうえで、CSOC主催による関連部署との電話会議が始まった。
インシデントレスポンスは、CSOC内だけで完結するものではない。関連部署と連絡を取り合いながら行う必要があるのだが、今回は、脅威レベルを鑑みて経営幹部に連絡し、トップダウンでの管理・統制を実施。サービス主管と早急に電話会議を開催できたという。
西
電話会議では、まず我々で把握している情報をお伝えして、考えうる対処方法をいくつか提案。該当のサービス主管に、実際の対処をどうするかという判断を行ってもらい、同時に、保守部門には詳細なログ調査を依頼し、集められた複数の情報をつきあわせながら、最終的な結論を出していただくことになります。
電話会議が終わるとすぐに、清村と西はWebサイトを攻撃からまもる対策装置WAF(Web Application Firewall)に設定の投入を行う。しかし、新しい設定によってお客さまサービスに影響がないように、検証を重ねながら作業を行わなければいけない。
清村
WAFに投入する設定によって、お客さまへの影響が懸念される場合は、日々のログ状況を確認して、サービス主管と相談しながら進めます。設定投入にあたっては、検証機などを使って実際の動作をチェックし、問題ないことを確かめてから、設定投入を行います。
CSOCでの対処が完了した後は、電話会議で関連部へ共有し、この日のインシデントレスポンスは、不正アクセスの試行発見からなんと5時間未満で完了した。
CSOCが発足したのは約2年前。NTT西日本グループ全体のセキュリティをまもる立場にあるCSOCは、NTTネオメイトで最も関連部署の多い部署のひとつ。社内での認知が広がるにつれて、関連部署からの協力も得やすくなってきている。わずか5時間という早急な対応を可能にしているのも、こうした協力関係あってのことだ。しかし、社内でのセキュリティ対策の重要度は年々高まっており、CSOCが求められる役割もまた増えている。
大木
NTT西日本グループの設備・サービスをまもる我々は、社内に閉じこもっているだけではなく、他社のセキュリティ部署の方々とつながり、情報共有の機会を持つことも重要です。サイバー攻撃は地球上のどこから仕掛けられるかわかりませんから。
清村
セキュリティに関しては、自分たちだけでどうしようもできないところがあるので、国際的セキュリティ機関などと連絡を取り合うこともあります。また、外部のセキュリティ勉強会などにも参加し、他社のセキュリティ担当者の方とも意見交換をさせていただいています。新しい知識をどんどん身につける必要のある仕事ですし、非常にやりがいはあります。
しかし、いかにCSOCのメンバがそれぞれに技術力や知識を身につけても、インシデント発生時にその力を連携させることができなければ、組織内にセキュリティホールを生むことにもなる。ログの動きに疑問を持てば、たとえ自信がなくても上司に相談できる関係づくり、コミュニケーションを取りやすい環境づくりもまた、セキュリティの強度を底上げする力になるのだ。
西
常日頃から後輩に「現状はどう?」と声をかけにいくようにしています。「たいしたことないかもしれない」と思っても、とにかく言ってほしいのです。声かけによって漏れもなくなりますし、一番良くないのは、口をつぐんだせいで対応が遅れることです。その意識は、CSOC全員が共有できているところです。
セキュリティ技術は日進月歩。次々に現れる新たな脅威や脆弱性に対応するために、人材育成と組織づくりも取り組むべき課題だ。そこでCSOCでは、NTT西日本グループ内でセキュリティ人材を増やしていくために人材認定制度の提案を行い、承認を得たという。
清村
セキュリティ人材制度のランクは下から「B」「A」「SA」とあって、Bランクについては全社員取得を義務づけようとしているところです。CSOCのメンバはもちろんBは全員取得し、更に上位ランクをめざし社外でのセキュリティ系の資格も積極的に取得するようにしています。
立ち上げ間もない組織であること、また世の中の動きに常に対応する機動性が求められるということが、CSOCという組織にある種の風通しの良さをもたらしてもいるようだ。
大木
ルールに縛られて動くのではなく、世の中の事象に合わせて、自分たちでルールを考えて決めて、それをNTT 西日本のルールとして対応していける組織です。対外連携を含めて、いろいろな考えを吸収して、会社にフィードバックすることもできます。新しく何かをやりたい、考えたい人にはすごくいい組織だと思います。
一人ひとりのコンピューターから、インターネットへ、そしてNTTネオメイトがまもる基幹ネットワークを通して世界へ。セキュリティ技術者のネットワークもまた国境を越えていく。NTTネオメイトで、社会に貢献する仕事に携わることは、グローバルな視野を育むことにつながっているのである。
