「この仕事が世の中からなくなればいいと思う」
実績のある、もっと言えば、実績や業績だけでなく、徳のあるセキュリティの技術者や専門家を取材している際にたびたび耳にする言葉である。
脆弱性診断、改ざん検知エンジン、その他セキュリティサービス等々「この仕事が」の仕事内容はさまざまだが、悪意からシステムを守るような(こんな)仕事が世界に必要がないような平和の世の中になってほしい。あるいは人が人を収奪しない世界が訪れてほしい。そんな願いがそこに込められている。こんな言葉を語る人をこそ本誌は取材したいといつも願っている。
取材の中で、同一の言葉が口にされることはなかったが、今回インタビューを行ったNTTデータ先端技術株式会社も、仕事に対する謙虚さと未来への願いを持つ点において、同じ範疇に入る者たちと感じた。
社名に判然(はっきり)と「NTTデータ」の名を冠しているにも関わらず、NTTデータ先端技術のセキュリティ事業の内容が、NTTデータグループに認知されていないことがあるのだという。恐るべきことである。同じグループといえば身内も同然、というか身内だ。これは謙虚どころの話ではない。
本誌から見れば歴史ある同社のSOC(セキュリティオペレーションセンター)事業すらも、よく知られていない場合があるのだという。
ある日こんな出来事が起こった。
NTTデータ先端技術は、ホスト型のセキュリティ監視製品「Trend Micro Deep Security」を、特別認定MSS(マネージドセキュリティサービス)パートナーとして取り扱っている。
とある、NTTデータが取り仕切る、新規ITプロジェクトの要件の一部として、NTTデータ先端技術のSOCに対して監視業務の依頼が来たが、その仕様を見たSOCメンバーは少なからず驚いたという。なぜなら、セキュリティ監視機能一覧の中に、Deep Securityの名があったからである。しかもその仕入れ先は特別認定MSSパートナーであるNTTデータ先端技術では無いという。仕入れ価格もNTTデータ先端技術からの提供価格より高くなっていた。
「変だな」とは思ったものの、「きっと何か、預かり知らぬ目的や経緯があるのだろう」いつものように謙虚にそう考え、特段何か連絡することはなかったそうだ。
しかし、二度三度と同じこと、つまりNTTデータ仕切りのITプロジェクトの監視案件で、Deep SecurityがNTTデータ先端技術ではないところから調達されることが繰り返されるに至って、いかに謙虚な彼らでも、ことの真相を明らかにすべく調査を実施した。何より顧客のコストの問題がある。
その結果、大元の台帳とでも言うべき、NTTデータグループの調達システム上でNTTデータ先端技術が取り扱うDeep Securityが候補として登録されていなかったという衝撃的事実が判明した。
謙虚にも程があるどころの話ではない。これはもう「謙虚を通り越した何か」だ。どちらかというと、モンティパイソンとかそういう領域に近い何かである。
実は話はSOCだけではない。SOCオペレーターが、たとえばペネトレーションテスターのような、個性やセンスを鋭利に尖らせていく系の業務と比べて地味であることはまあ仕方ないと言えるだろう。しかし、たとえばNTTデータ先端技術は、脅威インテリジェンスセンターを業界でも早期に設立し運用しているが、このセンターのトップであるセンター長が驚くほど謙虚かつ地味なのだ。
サイバー脅威インテリジェンスと言ったら、ある種「先端」花形領域のひとつ。APTだの地政学だのサイバーギャングだのと、ロックバンドのギターソロよろしく、派手にぶち上げてぶちかますのが通例なはずが、このセンター長が行うプレゼンテーションは、APTの「A」すら、ろくすっぽ語られることもなく、単に顧客にどんな影響があるのかが平坦かつ訥訥(とつとつ)と話されるのみ。本誌が同人物につけた異名は「顧客の信頼厚い 町中華の大将」であった。
このようにして、このたびScanNetSecurityは、このままいくと身内から忘れ去られかねないNTTデータ先端技術のSOC事業に携わるふたりの人物をオンラインで取材した。
取材協力:
NTTデータ先端技術株式会社
セキュリティ事業本部 セキュリティレジリエンス事業部
セキュリティオペレーション担当
担当部長 片岡 太志 氏
野本 竹春 氏
まずは「台帳に載ってなかった事件」の発端となった「Trend Micro Deep Security」について話を聞くところから取材は始まったが、やがて同社SOCが、高水準のSOCしか持っていない、持つ事ができない、とある「条件」を備えていることを編集部は発見したのだった。
--
●ミッションとDeep Security選定理由
片岡氏と野本氏の両名が属するチームは「Trend Micro Deep Security」に限らず、さまざまな機器やソフトウェアの監視サービスを幅広く取り扱っており、これらの拡販と新規監視サービスの開発を行っている。約10種類の監視製品を自ら取り扱い、それらを組み合わせ、顧客の要望に応じて提案、導入、構築、運用を行う。
これまで監視製品は多々存在したが、UTMのように一製品で複数の機能を持つ統合製品が登場したことで、NTTデータ先端技術でも多層防御を実現するホスト型の統合製品「Trend Micro Deep Security」の監視サービスを提供する判断に至った。
「Trend Micro Deep Security」はMITREによる攻撃テストにおいて、検知数と過検知の少なさで1位を獲得した実績があり、その高い検知性能をホスト型として幅広いOSに対して実装できるのは大きなメリットである。
現在のセキュリティ業界では、100%脅威を防ぐのは困難であると言われている。そのため、侵入された後に素早く検知し、端末・サーバなどのホスト単位で対処できることも非常に重要な要素になる。「Trend Micro Deep Security」はその課題に対処する目的に完全に合致した製品と言える。
前述の通り、境界型のセキュリティ製品は、複雑化した最新の攻撃を完全に防ぐ事が難しい。また、製品を設置した箇所の通信に対しては脅威の検出・防御ができるものの、あくまでそこまでだ。それに対してホスト型の統合製品は、たとえばUSBメモリ経由での感染など、別経路の感染に対しても防御が出来る。オンプレ・クラウドなど対象も選ばない。
Deep Securityのアンチウィルス機能では、世界各地から検知された脅威情報が蓄積されるトレンドマイクロの脅威データベースにリアルタイムで問い合わせを行い、常に最新の脅威から端末・サーバを保護することができる。さらに、ランサムウェアによる暗号化の挙動をブロックする機能も実装されており、昨今において、継続して被害が発生しているランサムウェア対策としても有効である。
また、URLフィルタリングなどの機能も実装されており、内部に入り込んだマルウェアがC&Cサーバに繋がらないようにできる点なども、Deep Securityが持つ優位点のひとつである。内部不正なども含めた内からの脅威にも対応できるのだ。
トレンドマイクロ株式会社は、ラボを持ち独自の脆弱性情報をデータとして蓄積しているが、これをDeep Securityのユーザが検索できるようになっている点も選定ポイントとなった。IDS/IPSやURLフィルタリングがブロック処理を行う根拠をSOCのアナリストが参照できることは、後述する通り極めて重要なことだった。
最後のポイントはビジネス的な条件だ。NTTデータ先端技術はトレンドマイクロから「特別認定MSSパートナー」に認定され、コスト面の性能も顧客に対して提供することができる。
一般販売のDeep Securityライセンスでは、平日日中の時間帯のみのメーカーサポートが付帯されており、24時間365日のメーカーサポートが必要な場合は追加料金が必要だが、認定MSSパートナーであるNTTデータ先端技術が提供するライセンスでは24時間365日のメーカーサポートが標準で付帯されている。
●NTTデータ先端技術の開発した独自システム
市場ではネットワーク型の監視製品が主流である。そのためDeep Securityと同じ機能が備わった競合製品は存在しない。だから競合サービスとしては、NTTデータ先端技術と同様にDeep Securityを用いた監視サービスやSOCサービスを提供している企業が競合となる。
それらDeep Securityを活用した他社SOCとNTTデータ先端技術のSOCとの差異ポイントの重要なひとつが、監視データを集約し分析する基盤を独自に開発している点だ。冒頭で「高水準SOCが持つ条件」と少々仰々しいもの言いをしたのが、この自社開発のログ集約&分析基盤である。
基盤とはざっくり「SIEM」と考えてもらってもそれほど差し支えはない(単なるソフトウェアだけではないので少し差し支えるが)。いわばNTTデータ先端技術が作った○plunkや○Radarであり、運用現場で持ちあがった課題等をもとに、彼らは日々それに機能追加を行い改良する。
SOC事業を営むセキュリティ企業の多くは、海外製品や他社製品の分析基盤を購入して利用することがほとんどである。だが編集部が知る範囲でごく一部にそれを自社開発している企業があり、NTTデータ先端技術もその一社である。
自社基盤の開発は、NTTデータ先端技術に合流する前の「NTTデータ・セキュリティ株式会社」だった時代、2000年頃に開始された。「SIEM」は存在せず「SOC」という言葉すらほとんど知られていなかった頃である。
自社開発基盤を持つメリットは、(こういう条件を満たす場合アラートを上げてくれ云々といった)顧客からの特殊な要望に対応できる点などが挙げられるが、一番は運用監視で得られる知見の質が上がること、そしてその知見をSOCチームの生きた血肉として蓄積していけることに尽きる。
「専門のセキュリティ機関が出しているからその推奨情報が必ずしも全ての顧客の環境のもとで正しいとは限らない」
「脆弱性が出てパッチをあてたから大丈夫ですよ、などとは顧客に対して口が裂けても私たちは言えないし言わない」
インタビューはこんなギョッとする言葉のオンパレードだった。要は、たとえばexploitをきちんと社内のラボで動かして影響を検証するということであり、たとえ同じ脆弱性だとしても、今回も前回と同様の対応を行って顧客環境に想定外の影響が出ないのかを毎回確認するということである。これらの研究と実証の成果の蓄積と、それが積み重なってできた歴史こそが「自社開発基盤」の中身だ。
●NTTデータ先端技術のSOCをたとえるなら「フルコンタクト空手」
脆弱性情報は専門機関が公開しているし、インテリジェンス情報は購入すれば利用できる。しかし、本当にそれらの情報やインテリジェンスが顧客にとって正しいかどうかは、検証できる環境を持ち、都度確かめなければ顧客に出すことはできない。
本誌の編集部員のひとりが取材中にこれを「通信空手と極真空手の違い」と例えた。専門のセキュリティ機関や脅威インテリジェンスベンダから入手できる情報には、あたかも通信空手の教本のごとく、何をどうすればいいか書かれてはいるが、実際にそれをみぞおちに喰らって気を失ったり、組み手の最中にさまざまな体格の相手に対して使ってみなければ威力はわからないという趣旨であった。
しかし「セキュリティの仕事を面白おかしい例えにするなどもってのほか」という、シャッターがガラガラガッシャンと閉まるような極めて冷たい拒絶反応が得られただけだった。だがそれでいい。それでこそNTTデータ先端技術のSOCだ。そこがシビれる憧れるところでもある。
●NTTデータ先端技術の監視体制
NTTデータ先端技術のセキュリティ監視センターは、有人で24時間365日体制で監視を行う。センターには監視を行う組織と、必要に応じて分析や検証を行うセキュリティアナリストによる組織のふたつが存在する。
2021年末、久々に現れた深刻度10点満点の脆弱性としてLog4jが報告されたとき、日本のセキュリティ企業としては異例の早さ(2021年12月15日)で深く濃い検証レポートを出したのがNTTデータ先端技術株式会社だったが、あの非凡なレポートには監視センターとアナリスト達が関わっている。
●NTTデータ先端技術の顧客は?
NTTデータ先端技術のSOCが日々、正拳突きをフルコンタクトで喰らうごとき真摯な検証そして研究を続けているのは、端的に顧客の要求水準が高いからである。NTTデータ先端技術のSOCサービスの顧客は、公共機関や金融分野が多い。
SOCサービスの利用料金はレギュラーメニューの他、各社個別の要望や相談もオープン価格で受けている。後者の場合、顧客の要件に合わせてゼロからスクラッチするようなサービス定義を行うため、参考価格的なものは存在しない。いわば、客が望みさえするなら、フレンチでも和食でも、どれも超一流店レベルの一品を作る実力を持つ町中華である。
金融のジャンルは、FISCの安全対策基準を理解し準拠するよう実装するだけでも多くのセキュリティ企業にとっていっぱいいっぱいだが、NTTデータ先端技術のSOCはそこにさらに、特定の条件を満たすアラートは担当者のこの携帯に電話をしてほしい、などといった神対応のホスピタリティを提供する。
近年は公共や金融に加え、エネルギー系企業からの引き合いも増えているという。エネルギー系顧客はときに金融の上を行く要求水準の高さだが、そんな顧客に対応できる企業など、そもそも国内に数えるほどしかない。NTTデータ先端技術もその稀少企業のひとつだ。
--
さまざまな技術と運用によって、安全に守られている当のエンドユーザー自身が、セキュリティの存在を意識しない、それと気づかないのがセキュリティ管理のひとつの理想とされる。目立つ必要などないのだ。
とはいえ、今回紹介したNTTデータ先端技術のように、意識しないどころか、身内にその存在を忘れられかけたSOCというのは珍しい。目立つ必要はないにしてもさすがにこれではあんまりである。
しかし、同じ能力を持つSOCがふたつあった場合、より謙虚な方が高水準なサービスを提供すると思う。より謙虚な方が有事の際に頼りになる強さを持っていると思う。
