ドメスティック企業からグローバル企業へ変革する中で見出したノウハウ―― NTTデータが実践した、新たな時代のセキュリティ対策：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

状況の把握と統一した仕組み作りがポイントに

　このルール作りを進めるに当たってNTTデータでは、まず、「スパム対策はできているか」「ログを収集しているか」といった事柄を尋ねる統一的なチェックリストを作成して各社にヒアリングし、レベル感を可視化していった。

　「各社がどこまでセキュリティ対策ができているか全く分からない状態からスタートしたため、まずそこを分るようにすることから始めました。その結果、本社以上に成熟した取り組みを実施している海外企業もあり、そうした企業からいいところを取り入れながら進めていきました」（星野氏）

　ただ、チェックリストには課題もある。実際にはほとんど実施できていなくても、ヒアリングでは「できている」と回答するケースも少なくない。そこで、表現の仕方などを工夫しながら、継続的に改善する取り組みを進めているそうだ。

　一般にセキュリティに関するルールは「ポリシー」「スタンダード」「プロシージャ」の三階層で構成される。NTTデータでは、ポリシーとスタンダードに関してはグローバル共通のものを定め、それをベースに各地域・各社個別の事業を踏まえた取り組みや要求があればアドオンしていく形とした。一方、プロシージャまで本社で決めるとなると細かくなりすぎる。そこでプロシージャは基本的にスタンダードをベースに、各国の法規制や商習慣を踏まえて各拠点が作成する形で運用している。

グローバルセキュリティポリシー・スタンダードの統一

　2つ目の軸はテクノロジーだ。これも当初は各社それぞれの状況だったが、ステージ2の段階で、インターネット境界のセキュリティ強化にフォーカスして対策を進めていった。NISTのサイバーセキュリティフレームワークに照らし合わせ、「問題を止めきることはできないから、検知や対応・復旧をきちんとできるようにしよう」と、検知、対応・復旧にフォーカスした対策を実施した。

　各拠点でも検知や分析に取り組んでいたが、用いる監視基盤がバラバラという課題があった。「日本でインシデントを検知し、各リージョンにその情報を共有したくても、使っているSIEMごとに翻訳し、検知のためのルールを作るのに時間や手間がかかっていました」（星野氏）。これらの手間を省き、スピーディに、また統一的なレベルで対応できるよう、共通のSIEM基盤としてExabeamを採用し、どこかの拠点でインシデントを検知したら、同じルールですぐに他のリージョンでも検知・分析できる仕組みを整えた。

　そしてステージ3の段階では、モバイルやクラウドを活用し、セキュアで便利な働き方ができるようにする狙いに合致するものとして、ゼロトラストに取り組んでいる。

　具体的には、NTTデータでは多様なクラウドサービスを活用しているが、それらを、公式に利用が認められている「認可サービス」、アクセスは許可し、留意しながら使う「認可外サービス」、そして明確に禁止するサービスの3種類に分け、統一したセキュリティ基盤でアクセスをコントロールしている。外部から社内システムへのアクセスも同じ基盤を経由し、さらに認証基盤のOktaを組み合わせ、シングルサインオンで安全かつ便利に利用できる仕組みを整えた。アクセス時には、端末のセキュリティ対策がきちんと実施されているかを確認する仕組みも取り入れ、一連のログはモニタリングできるようログ管理基盤に送られる。

　ポイントは、こうした仕組みをグローバルで統一した形で実現していることだ。「セキュリティ基盤も監視も、統一した製品で実現することによりレベルを合わせることができ、同じ使い勝手を実現できています。かなりの部分をシステムで担保し、『ここを使っていれば大丈夫』という仕組みを実現することで、ルールだけでなくガバナンスもある程度確保できています」（星野氏）

　これは、セキュリティ人員の不足という問題にも効果があるという。

　インシデント対応一つ取っても、検知にはやはり人手、工数がかかる。だがこうしたセキュリティ基盤を活用し、アラートを絞り込むことで負荷を大幅に削減できる。2022年のある四半期では全世界で約5000億件というログが発生していたが、Exabeamを活用することで約1万件弱まで絞り込める。ここに、NTTDATA-CERTを通して蓄積してきたセキュリティ運用のノウハウを生かすことで、最終的に、対応すべきインシデントを5252件にまで絞ることができた。

　このように、システムと、ノウハウを持つ人を組み合わせることによって、「重大なインシデントが発生したら、本社CISOに24時間以内にエスカレーションする」という運用を実現している。

　最後の人という軸に関しては、簡単な対策はない。ルールやテクノロジー同様に、各社ばらばらに進めてきた取り組みの中から、いいものは結集し、全体として統一感のある取り組みを目指している。

自らの経験を生かし、計画から構築、運用までを支援

　NTTデータは、自身の経験も踏まえながら、フェーズ1の「計画」、フェーズ2の「設計・構築」、フェーズ3の「運用」という3つのフェーズにまたがってセキュリティ対策を支援するサービスを提供している。

　IT業界ではどうしても、ソリューションに当たるフェーズ2の部分に目が行きがちだ。だが星野氏は、全体構想を立て、そのための予算や体制を整えていくフェーズ1をしっかり固めておくことが重要だと指摘した。

NTTデータグループで培ったノウハウ

　「われわれ自身もそうでしたが、経営層も含め、目的についてしっかり合意を取ることが大事なポイントです。セキュリティは大きな話ですし、正直に言うとお金もかかります。ですから、経営にも積極的に入ってもらうことが大事です」（星野氏）

　その上で、各社それぞれの構成や文化に合わせた体制作りや人材確保に向けた役割定義、予算配分、そして各国の法規制や国際標準への対応といった部分を検討していく必要があり、NTTデータは自らのノウハウを生かしながらそうした部分を支援していくとした。

　最後の運用の部分についても、グローバルで24時間365日体制の支援を行う運用監視サービスや、インシデント対応体制支援サービスを用意している。

　これらすべてのフェーズを一気通貫で支援していくサービスとして「UnifiedMDR(TM) for Cyber Resilience」を立ち上げている、という。