[Security Days 2016 インタビュー] 独自開発のSIEMとアナリストによる分析を軸としたセキュリティサービス (NTT Com) | ScanNetSecurity
2024.03.30(土)

[Security Days 2016 インタビュー] 独自開発のSIEMとアナリストによる分析を軸としたセキュリティサービス (NTT Com)

「特定の1社が狙われているのではなく、日本が狙われているという印象があります。調査・分析の過程で考えさせられることがありました。それは、攻撃者はまだ『情報を収集している段階』なのではないかということです。」

特集 特集
PR
3月3日からの2日間は東京で、3月11日には大阪にて開催される「Security Days 2016」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

3月3日「御社の標的型サイバー攻撃の対策レベルは? 情報セキュリティガバナンスの成熟度の考え方」と題した講演を行う、NTTコミュニケーションズ株式会社(NTT Com)の経営企画部 マネージドセキュリティサービス推進室 担当部長 兼 セキュリティエバンジェリストである竹内文孝氏に、最新の脅威動向や同社のソリューション、セッション「御社の標的型サイバー攻撃の対策レベルは? ~情報セキュリティガバナンスの成熟度の考え方」の見どころなどについて話を聞いた。


――サービスをグローバル展開するNTT Comは、世界と日本の脅威動向をどう見ていますか。

グローバル全体としては、ウイルスが企業のICT環境に忍び込み、どんどん形を変えて拡散し、情報漏えいを引き起こす状況の一方で、内部不正対策の考慮も迫られています。

その中で日本の状況をみてみると、特定の1社が狙われているのではなく、日本が狙われているという印象があります。狙っているのは豊富な資金源を持った組織で、非常に高度で巧妙な攻撃を仕掛けてきます。2015年は「Blue Termite」と呼ばれる標的型攻撃が顕在化し、業種を問わず数百社規模の被害が発生しました。NTT Comでは、インシデントが発生したお客様に、初動対応から調査・分析、改善提案を行う「レスキュー」というプロフェッショナルサービスを提供していますが、本件に係るいくつかのインシデントに対応し、その調査・分析の過程で考えさせられることがありました。

それは、攻撃者は、社員情報や、やり取りしているメールの情報を執拗に狙っている、ということです。

そこで考えたのは、攻撃者はまだ「情報を収集している段階」なのではないかということです。大企業は堅牢なセキュリティ対策を行っていますから、そのサプライチェーンである中小企業を攻撃して、日本の経営層の名寄せデータや、人脈図を作成し、真の目的を達成するための準備を進めているような攻撃者像が浮かんできました。これが、特定の1社ではなく日本が狙われていると最初に申し上げた理由です。「Blue Termite」は、昨年夏ごろを最後に、当社でも観測されていませんが、対策を怠ってはいけません。

その一方で、日本でも内部不正が目立ちます。経営層の意識は高まりつつありますが、まだまだ認識が足りない状況です。内部不正は経営責任を問われますし、莫大なコストもかかります。しかも加害者になってしまうわけですから、内部不正へのケアもしっかりしていかなければならないと思います。

――そういった脅威から企業を守るためNTT Comはどんな取り組みやサービスを行っていますか。

現在の脅威に対抗するには、もはや1社でサイバー攻撃対策をするのは無理と言えます。グループやサプライチェーン、パートナーとのバリューチェーンによってひとつの製品やサービスが成り立ちますから、1社でなくグループやグローバル環境下で守っていかないと、企業価値を守ることが難しくなります。グループ経営を守るという視点で情報セキュリティガバナンスを確立しないと難しい状況になっています。

それを実現するために、NTT Comではステップ論と「成熟度モデル」を展開しています。ステップ論は、「レベル1:フレームワークの導入」「レベル2:インシデント発生時の技術力、対応力などを整える」「レベル3:情報セキュリティガバナンスの確立」です。

これにより、社内CSIRTを構築してグループ全体、バリューチェーン全体に展開し、普段の対策状況などを公表することでコミュニケーションパスができます。すると、事故が発生した際にも対応状況などの利害関係者への公表も素早く的確に行えるので、必然的に信頼関係が強まり、ブランド価値が低下することを抑制できます。このレベルにおいて日本は遅れていますので、注力しているところです。

このモデルは「人」「プロセス」「技術」の3つの観点でレベル1から5まで5段階の成熟度を設定しています。たとえば、技術のレベル1は既知の脅威のみに対応する、基本的なセキュリティ製品の導入。レベル2はネットワーク型のサンドボックスなど、レベル1の対策をすり抜ける脅威への対策になります。もちろん、すべてレベル5の対策を導入する必要はありません。企業ごとに不足している、脆弱な部分を成熟度モデルに沿って補強していく形になります。

NTT Comでは、プロフェッショナルサービスとマネージドセキュリティサービスを「総合リスクマネージメントサービス」としてご提供する「WideAngle」を展開しています。その強みは、独自開発した分析エンジンを搭載するSIEMと、アナリストによる分析です。ある顧客の運用事例では、50日間でSIEMに集まるログ情報は170億件にのぼり、これを独自のSIEMにより数十万件に減らし、最後は人の手で数十件の真の脅威だけに絞り込んで、顧客に通知していますが、その精度の高さが他のサービスにはない特徴です。

「Security Days 2016」では、NTT Comの提唱するステップ論と成熟度モデル、また、独自のSIEMとアナリストによる高度な脅威分析デモを、ぜひご覧いただきたいと思います。

――ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×