[インタビュー]監視体制に基づいた、青年団的セキュリティ事故対応組織を(NTTデータ先端技術) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

[インタビュー]監視体制に基づいた、青年団的セキュリティ事故対応組織を(NTTデータ先端技術)

特集 特集

NTTデータ先端技術株式会社は、NTTデータグループのNTTデータ先端技術株式会社とNTTデータ・セキュリティ株式会社の統合によって誕生した企業。

NTTデータ・セキュリティにおいて蓄積されたセキュリティ分野における幅広い知識やノウハウと、NTTデータ先端技術において培われた高度なITシステム基盤技術の融合を図り、多様なニーズに対し付加価値の高いサービスを提供している。標的型サイバー攻撃の現状と対策に関する、同社セキュリティ事業部のセキュリティアーキテクチャグループ長である植草祐則氏へのインタビュー第2回目では、事故発生後の対応について話を聞いた。


――標的型攻撃の発生を受けて、お客様の意識に変化はありますか?

標的型攻撃に関わらず、インシデントを経験したお客様は「インシデントの発生後に何をするか」を考える傾向にあるようです。さいわいにもインシデントの経験がないお客様は、それが「起きないこと」に一生懸命になる傾向で、そこのギャップは常に感じています。
事故前提とまでは言わなくても、インシデントが起きた後のことを考えていないといけないと思います。それは、一度インシデント経験されたお客様ほど非常に強く意識しています。

これから企業は後者の、つまりインシデント時の社内体制や、どういう手順で関係部署と何をするかといったインシデントハンドリング、社内CSIRTなどが整備されているかどうか、それが問われていくと思います。

そういった機能があると、NTTデータ先端技術の提供するサービスがより有効に噛み合っていくでしょう。

――企業が自社CSIRTを構築することも、そのひとつですね。

はい。NTTデータ先端技術でも、そもそも私の部署がインシデント対応している関係もあり、またNTT やNTTデータとの連係がいろいろあるので、そこからのノウハウを展開してお客様のCSIRT構築にも活かそうということでサービスの提供を始めています。今ちょうどお客様とやり取りをしているところです。

今年は標的型攻撃の流行を受けて、「CSIRTをやらないと」という声をいくつかいただいています。企業の意識も高くなっていて、それがNTTデータ先端技術のサービスにマッチした形です。もっとも、すぐに体制ができるわけではないので、ファーストステップは社内のCSIRTの構築になるでしょう。まずは担当者を決めて徐々に充実していき、外の活動に広げるというロードマップだと思います。

また、もともとCSIRTは社内のインシデント対応もそうですが、横につながっていくことも大きな目的です。青年団のように自治的な組織としてインシデント情報の交換や共有などができれば、お互いに対応に役立てられます。それが理想ですね。さらに、インフラなどのネットワーク監視をしている事業者やさまざまな協議会があります。こういった情報を持っているところとお付き合いをして、問題が発生したときに情報をもらえるようにしておくことも、これからの企業には必要だと思います。受け身では情報がなかなか入ってこないですね。

――CSIRTの重要な情報源となる、御社の監視サービスについて教えてください

いくつか種類があるのですが、私たちのセキュリティ事業の核になっているのはIDS・IPSの監視サービス、いわゆるセキュリティ監視サービスですね。24時間365日で監視して、問題が発生したらお客様に通知するというものです。NTTデータの子会社であるので、厳しい品質をクリアしていることが特徴です。

今後は、UTMやWAFなどセキュリティを監視してアラーム上げるようなさまざまな機器に対応の幅を広げていこうという動きがあります。SOCと考えていただいていいと思います。ただ、どこまで対応を広げるかはこれからですね。特に「機器を入れるだけで終わりではない」ことに気づいたお客様に広げていきたいですね。

他社との差別化ポイントは、NTTデータグループの品質の高さが挙げられると思います。そのため金融や官公庁に強いことも特徴です。規模はともかく、長く続けている運用部分の安定性、そこも信頼していただいています。

また、SOCとは少し外れますが、インシデントレスポンスにおいては現場で対応している知見も含めてトータルでサービスしています。それと本当のSOCの監視サービスを近づけていきたいと考えています。そこでおもしろいサービス提供できるかも知れません。現地対応の知見、NTTで研究開発している知見、既存の製品でなく多様な製品を監視して、統合的な兆候や傾向をお知らせするようなことができたらいいなと考えています。

おそらく今後は、監視すべきポイントや機材が増えてきます。そうすると、お客様だけではハンドリングできなくなるでしょう。エンジンの部分では、セキュリティ対応している人たちのノウハウがインプリメントされるので、そこは強みがあると思います。しかし現在はログを集めるだけであり、統合的に知見をパッケージするサービスはないと思います。
NTTデータ先端技術は基盤技術がベースになっていますが、データベースやビッグデータなどの技術や知見をいろいろな事業部で持っています。それを統合して知見として提供できればと考えています。

――「機器を入れるだけで終わりではない」ことに気づくきっかは何でしょう?

一番わかりやすいのは、事故が起きたときに材料や手順がなくて経営陣が判断できない状況になってしまうことです。担当者も上が判断しないと動けないので、足踏み状態になってしまいます。こういった非常に困る状況を一度経験すれば、考え方が変わるようです。
一時期、「社内のCISOを決めましょう」という流れがありました。それが現在では、「CISOが判断するための材料を提供できるか」というフェーズになっています。

――さらに次のフェーズはどのようなものになるのでしょう。

先ほどビッグデータという言葉が出ました。ビッグデータが流行ですが、昔では考えられなかったような大量の情報を処理、解析できるようになります。今後はそれをセキュリティの分野でも使うようになるでしょう。たとえば、現在はファイアウォールのログすべて取るというのは無理です。ドロップしたものだけ取って分析しているのが現状です。それが、分析できるようになるならすべてのログを取るということになります。

つまり、正常な状態で見えてくるものを分析して、何の役に立つのかを考えていくわけです。役に立つのであれば、それがまた加速していくでしょう。データがたくさん集まることでセキュリティ的に意味を持つようになり、知見が得られることでセキュリティの考え方が変わっていく可能性もあるのです。

――ありがとうございました。
《吉澤亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×