大量発生するセキュリティアラートへの対応に追われて疲弊していく現場――。
多くのセキュリティ部門が直面している課題だが、NTTコミュニケーションズの情報セキュリティ部も同じだった。
そこで取り組んだのがセキュリティ運用のDX。
主導したのは、東京オリンピック・パラリンピック競技大会組織委員会への出向から戻ってきたばかりの男だった。
NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第15回は、NTTコミュニケーションズ 情報セキュリティ部の大西真樹を紹介する。
NTTコミュニケーションズの情報セキュリティ部、別名「NTT Com-SIRT」――。
約4年間の出向を終え、“古巣”に戻ってきた大西真樹を待っていたのは、以前にも増してセキュリティアラート対応に追われる同僚たちだった。
帰任した大西がリードすることになったNTT Com-SIRTのセキュリティオペレーション部門 第1グループは、次の3つの業務を主に担っている。
①1つめは脆弱性管理だ。
発見された脆弱性に対して、きちんと対応できているかどうかをモニタリングし、リスクを可視化する。
➁2つめは、導入している各種セキュリティツールから発せられるアラートへの対応である。
➂そして3つめが、帰任した大西が主導するセキュリティオペレーション部門全体のDX(デジタル変革)となる。
大西が出向していたのは、東京オリンピック・パラリンピック競技大会組織委員会(以下、東京2020組織委員会)。
世界的祭典をサイバー攻撃から守り切り、大きな達成感に包まれながら帰ってきた大西だったが、実は1つだけやり残したことがあった。
セキュリティインシデント対応の自動化である。
〇「セキュリティの仕事は絶対になくならない」
大学院で情報ネットワークを学び、2000年(H12)にNTTグループに入社した大西。
セキュリティの仕事には、支店での新入社員研修を終えた後、すぐに出会った。
最初の本配属先となった研究所でファイアウォールやDDoS対策システムの研究開発に従事しながら、「セキュリティはこれから絶対に伸びるし、セキュリティの仕事は絶対になくならない。
自分の社会人人生を賭けていいかもしれない」と思ったという。
研究所を離れると、セキュリティの仕事からも離れるが、思いはどうしても消えない。
そこで大西は思い切った行動をとる。
NTTグループの別会社に応募できるジョブチャレンジ制度を利用し、NTTコミュニケーションズのセキュリティマネジメント室、現在のNTT Com-SIRTへ転籍したのだ。
セキュリティ業務の重要性の高まりを背景に、今では100名を超える人員規模となっているNTT Com-SIRTだが、大西が加わった2006年当時はわずか7名。大西は多岐にわたる業務を任された。
例えば、NTTグループの主要会社初のBYOD導入のためのルール作りだ。
企業情報化協会のITマネジメント賞も受賞した。
社内啓発用のビデオ制作も思い出深い仕事の1つだ。
社内外で実際に起こったセキュリティインシデントを題材にしたビデオで、当時の課長と2人、制作会社を探すところから始めた。
社内啓発用のビデオ制作も思い出深い仕事の1つだ。
社内外で実際に起こったセキュリティインシデントを題材にしたビデオで、当時の課長と2人、制作会社を探すところから始めた。
大西が制作した啓発ビデオのDVD
ーーー略
ーーー参照
〇4億5000万回の攻撃を“手順化”で防ぎ切る
2018年、東京2020組織委員会のセキュリティチームの約20名のコアメンバーの1人に抜擢された大西。力を注いだ仕事の1つがセキュリティ運用の最適化だった。
「小さなインシデントなら、誰でも何も考えずに対応できるように、セキュリティ運用の手順化を進めました。
システムの設計段階でも手順化は行っているのですが、実際に運用段階になると、まだ手順化できていなかった部分がやはり出てきます」
世界最大級のイベントは、浴びるサイバー攻撃の数も世界最大級だ。
大会開始の約1カ月前から一気に増員される運用メンバーたちと力を合わせ、1日2交代の24時間体制で大会を守り切るには、全メンバーがインシデントに手早く対応できなければならない。
そのためには、対応手順の定型化を進める必要があった。
「手順化できるものは、すべて手順化していきました。
さもないと、想定外の重大インシデントが起きたとき、他のインシデント対応に追われ、十分な動きがとれないことも考えられたからです」
さらに定型化した手順の成熟度もどんどん上げていった。
用いた方法の東京2020組織委員会内での呼び名は「サイバーウォーゲーム」。
「攻撃役のレッドチームと防御役のブルーチームに分かれ、本番さながらの攻撃を繰り返しながら、運用手順を洗練させていきました」
大西らが大会期間中、受けた攻撃の数は約4億5000万。
そのすべてを防いで大会は無事終了した。
ただ、大西の出向中、NTT Comでは重大なセキュリティインシデントが起きていた。
社内ネットワークへの侵入を許し、工事情報管理サーバーと社内ファイルサーバーの一部に不正アクセスされたのだ。
NTT Comは再発防止策の一環として、PCとサーバーの振る舞いを監視するEDR(Endpoint Detection and Response)、社内ネットワークの通信を監視するNDR(Network Detection and Response)、攻撃者の振る舞いを可視化するUEBA(User and Entity Behavior Analytics)の3つのソリューションを導入してセキュリティを一層強化した。
「社内ではEDR/NDR/UEBAを“3種の神器”と呼んでいますが、これらのソリューションからアラートがいっぱい流れてきて、メンバーの稼働状況はだいぶ逼迫した状況でした」
久しぶりに社内に戻った大西は、現場の状況をこう感じると同時に、「すごいタイミングだ」とも思ったという。
なぜなら、大西が東京2020組織委員会で培ったインシデント対応の手順化のノウハウを存分に活かせる状況だったからだ。
さらに、「オリパラでは時間が足りず、心残りだった」というインシデント対応の自動化も強く必要とされている状況だったからである。
大西は帰任後すぐさま、セキュリティ運用のDXに取り掛かる。
〇SOARをNTT Com-SIRTのメンバーで内製
NTT Com-SIRTでは従来、セキュリティアラートへの対応手順について大まかなマニュアルは用意していたものの、手順化というほどの定型作業化は行っていなかった。
そこで大西は、手順化が可能なアラート対応の手順をきめ細かく定めながらシステム化、すなわち自動化に着手する。
自動化にあたっては、まずアラートの発生状況や対応状況を管理するチケットシステムを見直した。
それまで使っていたチケットシステムはAPIに対応しておらず、複数の外部ツールとの連携が難しかったためだ。
社員全員がアカウントを持っていたServiceNowに切り替えることにした。
さらに、注目を浴び始めていたSOAR(Security Orchestration, Automation and Response)も導入することにした。
SOARは、複数のツールを連携させながら、セキュリティアラートの管理や対応を自動化するソリューションである。
具体的には、Microsoft Sentinelを採用することにした。
ServiceNowとSentinelをプラットフォームにした自動化のためのシステムは、NTT Com-SIRTのメンバーで内製した。
NTT Com-SIRTのメンバーは、システム開発のプロフェッショナルではない。だが、ServiceNowやSentinelはローコードで開発できたからだ。
「GUIで簡単に開発できるので、『これならできる』と。メンバーみんなも『自分たちで開発したい』とモチベーションは非常に高かったです」
図 Microsoft Sentinelの開発画面。
このようにGUIベースで開発が進められる
ーーー
参照
ー ーー
大西がNTT Com-SIRTに戻った2022年1月にプロジェクトはスタートし、その年の4月には早くもシステムの一部が稼働し始めた。
〇セキュリティ運用DXのビフォーアフター
DXによってセキュリティアラート対応はどう変化したのか。
そのビフォーアフターを見ていこう。
以前はセキュリティアラートの通知をメールで受け取り、そのアラート内容をチケットシステムに手入力していた。
しかし今はチケットシステムに自動で起票され、メンバーにはMicrosoft Teamsで通知されるようになっている。
「我々はTeamsだけを見ていればよくなりました。
Teamsの通知をクリックすると、アラートの内容が全部入力されており、すぐ行動に移せます」
誤検知のアラートの大半を、自動処理できるようにもなった。
「まずAというツールで調べて、次にBというツールで調べてといったように、アラートが上がったときの対応は大体共通しています。
アラートが誤検知であることは多いですが、そこで一連のフローをシステム化し、人が判断しなくても、『こういう結果だったら誤検知としてクローズさせる』という風に自動化しました。
メンバーは、SOARによる自動調査では判断が付かなかったアラートだけに対応します」
これにより、人手で処理しなければならないアラートの数は、自動化前と比べて60~70%も削減されたそうだ。
ーーー図略、
参照ーーー
セキュリティアラートが発生すると、チケットシステムに自動で起票され、Teamsに通知が来る。そして、SOARが自動調査して問題ないと確認されれば、「チケットがクローズしました」とその報告もTeamsに自動でされる。なお、SOARの自動調査に問題がないかは、定期的にチェックしているという
これらはセキュリティアラート対応の自動化の一例だ。「システムは日々進化しています」。運用現場から出たアイデアをすぐ実装するアジャイル開発を、NTT Com-SIRTでは今も続けており、月1回のペースで新機能をリリースしているという。
〇「明けない夜はない」
<お問い合わせ先>
NTTコミュニケーションズ
URL:
NTTコミュニケーションズ
URL:
<>
※コメント投稿者のブログIDはブログ作成者のみに通知されます