打倒サイバー攻撃! 「攻め」のセキュリティ体制「NTTDATA-CERT」とは?

[2017/02/08 09:55]山田井ユウキ ブックマーク ブックマーク

平時、NTTDATA-CERTは何をしているのか?

セキュリティ対策というと、インシデント発生後に対処するというイメージが強い。

では、NTTDATA-CERTはインシデント対応がないときは何をしているのか。

大谷氏によると、「情報収集やスキル研鑽を行っている」とのことで、インシデントが発生していなければNTTDATA-CERTの活動がないわけではないと強調する。いざインシデントが起きた際、迅速に対応するには態勢を整えておかねばならない。また、そもそもインシデントが起きないように目を光らせることもNTTDATA-CERTとしての重要な活動だという。

同チームがこうした運営方針をとるようになった背景には、サイバー攻撃が高度化している現状がある。

近年のサイバー攻撃は進化のスピードが早く、ウイルス対策ソフトで検知されないケースが増えており、感染しても通知が上がってこないことも多いという。検知するまでに時間がかかれば、その間に情報が持ち出されたり、機器が遠隔操作されたりといった被害が拡大してしまう。

大谷氏が問題視したのは、この「遅れ」だ。

そこでNTTDATA-CERTは、こうした「潜在インシデント」を発見すべく、それまでの受身的な活動から「攻め」の活動へとかじを切った。

大谷氏がまず着手したのが、SIEM(Security Information and Event Management)システムの構築だ。同システムでは、社内の機器のログに残ったウイルスの痕跡を分析することで、サイバー攻撃を検知する。NTTデータでは、この仕組みを2011年ごろから導入し、現在では3分以内に攻撃を発見して端末を特定できるまでになったという。

「検知が早くなったことで、被害の最小化を実現できました」と大谷氏は説明する。

事実、SIEMシステムで捕捉したマルウェアの数は、JRCERT/CCが発表している改ざんサイト報告件数のトレンドと一致する。これは、サイバー攻撃検知システムがしっかりと機能している証明だと言えるだろう。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

【連載】ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 [3] ネット銀行における標的型攻撃対策とは?(前編)

【連載】ジャパンネット銀行CSIRTチームが伝える「CSIRTアレコレ」 [3] ネット銀行における標的型攻撃対策とは?(前編)

2015年5月に発生した日本年金機構の情報漏えい事件は記憶に新しいところだと思います。この事件における原因については、政府のサイバーセキュリティ戦略本部が調査報告を出していますので改めて説明しませんが、多くのセキュリティ担当者にとってこの問題は衝撃を受けたはずです。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る