打倒サイバー攻撃! 「攻め」のセキュリティ体制「NTTDATA-CERT」とは?｜IT Search+

全てのモノがネットワークにつながるIoT時代を見据え、企業として何よりも重視しなければならないのが情報セキュリティだ。CISO（Chief Information Security Officer）やCSIRT（Computer Security Incident Response Team）といったセキュリティ専門チームを設置する組織も少なくないが、サイバー攻撃は日々進化しており、新しいリスクは次々に生まれている。

そうしたセキュリティリスクに対抗するためには、何か起きたときだけ活動する「受け身のセキュリティ」ではなく、普段からリスクを想定して対策を講じておく「攻めのセキュリティ」が不可欠だ。

NTTデータにおいてこれを実践するのが、同社が組織するCSIRT「NTTDATA-CERT」である。1月27日に開催された「NTT DATA Innovation Conference2017」では、同チームを率いるNTTデータ システム技術本部 セキュリティ技術部 情報セキュリティ推進室 課長 大谷 尚通氏が登壇。NTTDATA-CERTの活動内容と、その人材育成について解説がなされた。

CSIRTを構築して初めにやるべきこととは?

まずはNTTDATA-CERTについて説明しておこう。

NTTDATA-CERTは、NTTデータの情報セキュリティ推進室に常設されたチームで、コンピュータセキュリティインシデントに緊急対応することを目的としている。

大谷氏によると、NTTデータにおける情報セキュリティ推進体制が発足したのは1999年。しばらくは各事業部門で独自にCSIRT活動を実施していたが、2010年にそれらの活動を集約し、NTTDATA-CERTが誕生することになった。翌2011年にはNCA(Nippon CSIRT Association)とFIRST（Forum of Incident Response and Security Teams)に加盟。現在に至る――という流れだ。

NTTデータ システム技術本部 セキュリティ技術部 情報セキュリティ推進室 課長 大谷 尚通氏

大谷氏曰く、「CSIRTを構築したら、まずは社内で有名になること」が肝要だという。社内での認知度を向上させ、セキュリティ意識を啓発すると同時にCSIRTの存在を周知徹底すべきというわけだ。その上で、インシデント発生時の研究報告経路を構築し、実績を蓄積する。

「インシデントが発生したときは親身になって相談に乗り、我々が対応すればすぐ事件が収まるのだと示しました。結果として現場の印象が良くなり、(NTTDATA-CERTの活動が)円滑に進むようになりました」（大谷氏）

そんな大谷氏率いるNTTDATA-CERTには、いくつかの活動タイプがある。

その1つが、自社内で起きたインシデントに早急に対応する組織内CSIRTだ。対応範囲はNTTデータグループ全体であり、国内外はもちろん、顧客側で発生したインシデントにも対応する。

その活動にあたっては、総務や広報、法務といった社内の重要部門との連携が不可欠となる。なぜなら、「インシデント時に、社内に向けどう広報するか」といった対応は、他部署との連携なしでは進まないからだ。

「もともとはあまり他部門との交流はなかったのですが、対応のための会議を開いたりするうちに重要な基幹システム部門と連携ができるようになりました。現在は情報システム部門と、さらにNTTデータ先端技術のSOC(Security Operation Center)と三位一体で活動することで社内のセキュリティを守っています」（大谷氏）

このほか、NCAのような主要セキュリティ組織と情報交換を通じた連携を図ることも重要な活動の一環だという。