［インタビュー］監視体制に基づいた、青年団的セキュリティ事故対応組織を

　NTTデータ先端技術は、NTTデータグループのNTTデータ先端技術とNTTデータ・セキュリティの統合によって誕生した企業。

　NTTデータ・セキュリティにおいて蓄積されたセキュリティ分野における幅広い知識やノウハウと、NTTデータ先端技術において培われた高度なITシステム基盤技術の融合を図り、多様なニーズに対し付加価値の高いサービスを提供している。標的型サイバー攻撃の現状と対策に関する、同社セキュリティ事業部のセキュリティアーキテクチャグループ長である植草祐則氏へのインタビュー第2回目では、事故発生後の対応について話を聞いた。

――標的型攻撃の発生を受けて、お客様の意識に変化はありますか？

　標的型攻撃に関わらず、インシデントを経験したお客様は「インシデントの発生後に何をするか」を考える傾向にあるようです。さいわいにもインシデントの経験がないお客様は、それが「起きないこと」に一生懸命になる傾向で、そこのギャップは常に感じています。
事故前提とまでは言わなくても、インシデントが起きた後のことを考えていないといけないと思います。それは、一度インシデント経験されたお客様ほど非常に強く意識しています。

　これから企業は後者の、つまりインシデント時の社内体制や、どういう手順で関係部署と何をするかといったインシデントハンドリング、社内CSIRTなどが整備されているかどうか、それが問われていくと思います。

　そういった機能があると、NTTデータ先端技術の提供するサービスがより有効に噛み合っていくでしょう。

――企業が自社CSIRTを構築することも、そのひとつですね。

　はい。NTTデータ先端技術でも、そもそも私の部署がインシデント対応している関係もあり、またNTT やNTTデータとの連係がいろいろあるので、そこからのノウハウを展開してお客様のCSIRT構築にも活かそうということでサービスの提供を始めています。今ちょうどお客様とやり取りをしているところです。

　今年は標的型攻撃の流行を受けて、「CSIRTをやらないと」という声をいくつかいただいています。企業の意識も高くなっていて、それがNTTデータ先端技術のサービスにマッチした形です。もっとも、すぐに体制ができるわけではないので、ファーストステップは社内のCSIRTの構築になるでしょう。まずは担当者を決めて徐々に充実していき、外の活動に広げるというロードマップだと思います。

　また、もともとCSIRTは社内のインシデント対応もそうですが、横につながっていくことも大きな目的です。青年団のように自治的な組織としてインシデント情報の交換や共有などができれば、お互いに対応に役立てられます。それが理想ですね。さらに、インフラなどのネットワーク監視をしている事業者やさまざまな協議会があります。こういった情報を持っているところとお付き合いをして、問題が発生したときに情報をもらえるようにしておくことも、これからの企業には必要だと思います。受け身では情報がなかなか入ってこないですね。

――CSIRTの重要な情報源となる、御社の監視サービスについて教えてください

　いくつか種類があるのですが、私たちのセキュリティ事業の核になっているのはIDS・IPSの監視サービス、いわゆるセキュリティ監視サービスですね。24時間365日で監視して、問題が発生したらお客様に通知するというものです。NTTデータの子会社であるので、厳しい品質をクリアしていることが特徴です。

　今後は、UTMやWAFなどセキュリティを監視してアラーム上げるようなさまざまな機器に対応の幅を広げていこうという動きがあります。SOCと考えていただいていいと思います。ただ、どこまで対応を広げるかはこれからですね。特に「機器を入れるだけで終わりではない」ことに気づいたお客様に広げていきたいですね。

　他社との差別化ポイントは、NTTデータグループの品質の高さが挙げられると思います。そのため金融や官公庁に強いことも特徴です。規模はともかく、長く続けている運用部分の安定性、そこも信頼していただいています。

　また、SOCとは少し外れますが、インシデントレスポンスにおいては現場で対応している知見も含めてトータルでサービスしています。それと本当のSOCの監視サービスを近づけていきたいと考えています。そこでおもしろいサービス提供できるかも知れません。現地対応の知見、NTTで研究開発している知見、既存の製品でなく多様な製品を監視して、統合的な兆候や傾向をお知らせするようなことができたらいいなと考えています。

　おそらく今後は、監視すべきポイントや機材が増えてきます。そうすると、お客様だけではハンドリングできなくなるでしょう。エンジンの部分では、セキュリティ対応している人たちのノウハウがインプリメントされるので、そこは強みがあると思います。しかし現在はログを集めるだけであり、統合的に知見をパッケージするサービスはないと思います。
NTTデータ先端技術は基盤技術がベースになっていますが、データベースやビッグデータなどの技術や知見をいろいろな事業部で持っています。それを統合して知見として提供できればと考えています。

――「機器を入れるだけで終わりではない」ことに気づくきっかは何でしょう？

　一番わかりやすいのは、事故が起きたときに材料や手順がなくて経営陣が判断できない状況になってしまうことです。担当者も上が判断しないと動けないので、足踏み状態になってしまいます。こういった非常に困る状況を一度経験すれば、考え方が変わるようです。
一時期、「社内のCISOを決めましょう」という流れがありました。それが現在では、「CISOが判断するための材料を提供できるか」というフェーズになっています。

――さらに次のフェーズはどのようなものになるのでしょう。

　先ほどビッグデータという言葉が出ました。ビッグデータが流行ですが、昔では考えられなかったような大量の情報を処理、解析できるようになります。今後はそれをセキュリティの分野でも使うようになるでしょう。たとえば、現在はファイアウォールのログすべて取るというのは無理です。ドロップしたものだけ取って分析しているのが現状です。それが、分析できるようになるならすべてのログを取るということになります。

　つまり、正常な状態で見えてくるものを分析して、何の役に立つのかを考えていくわけです。役に立つのであれば、それがまた加速していくでしょう。データがたくさん集まることでセキュリティ的に意味を持つようになり、知見が得られることでセキュリティの考え方が変わっていく可能性もあるのです。

――ありがとうございました。