セキュリティに関して、皆さまが取り組まれているお仕事について教えて下さい。

早貸　私が所属する「JPCERT コーディネーションセンター(JPCERT/CC)」は、業界・業種を問わず、国内のすべてのインターネット利用者を対象としつつ、企業や団体のセキュリティチームやシステム管理者等、業務として情報セキュリティを担当していらっしゃる方々を中心として、インシデント用語解説に関する対応支援、例えば、用いられた攻撃手法の分析や攻撃元等に対する停止依頼などを行っています。
また、インシデントによる被害を未然に抑止していただくため、ソフトウェアやシステム上の弱点であるセキュリティホールなどの脆弱性に関する情報の適切な流通、すなわち、国内外で発見されたソフトウェア等のセキュリティホールに関する情報などを関係のある製品開発者だけに通知して、修正プログラムをつくっていただいたうえで、各社足並みをそろえて一斉に公開していただくといった調整活動や、脅威情報の収集、緊急対応が必要な脅威に関する警告の発信などをしています。
活動にあたっては、個々の企業や団体が独自に設けている組織内CSIRT用語解説や関連する事業会社さんと連携しているほかいわゆるナショナルCSIRT――日本のJPCERT/CCもそのひとつです――とも連携しています。サイバー攻撃は、国境を越えて行われることが多く、インシデントの発生元が外国にあることも多いため、ひとつの国のなかで対処できるものではないからです。そこでナショナルCSIRTは、それぞれの国の窓口として、「あなたの国の○○というIPがインシデントの発生源になっているようなので調査、確認をしてください」というように依頼を行ったりします。

桑名　「情報流通プラットフォーム研究所」の桑名です。NTTには12の研究所があり、そのなかの私どものところには2つの大きなテーマがありまして、ひとつは、ネットワークやその上位系のアプリケーションサービスを支える情報処理系の基盤技術としてのクラウド技術の研究・検討であり、もうひとつが今日のメインテーマであるセキュリティです。セキュリティ分野では、暗号化技術、マルウェア用語解説対策技術などさまざまな研究開発を行っています。

山川　持株会社の研究企画部門でプロデュースの仕事をしています山川です。プロデュースの仕事というのは、大きく言うと、研究所で開発した技術を、事業会社が市場へ投入していくにあたってのコーディネーションで、コアとなるのはマーケティング力と企画力です。いくら優れた技術を開発しても、そのまま市場に投入しても使えないことがよくあります。そこで、研究所、事業会社とともに「どういう商品・サービスならば市場に受け入れてもらえるか、新市場を創造できるか」といった知恵を出し合っています。

畠山　NTTコミュニケーションズの畠山です。私は、アウトソーシングサービスとして、お客さまにセキュリティ基盤を提供するための拠点であるセキュリティオペレーションセンター（NTT Com SOC）に所属しています。NTT Com SOCは、24時間365日の監視体制で、お客さまのICT環境のセキュリティリスクを最小化するための専門組織です。お客さまが自らの事業ドメインに専念してもらうため、新たなセキュリティの問題やインシデントへの対応など手薄になるおそれがある側面を専門家としてフォローするのが我々の役割になります。最新の研究成果を提供するためにも、研究所との連携や、プロデューサーの山川さんとの情報交換はとても重要になります。

現在、このページの4分の1程度です。

このページの先頭へ

今、注目すべきセキュリティ上の課題の傾向について、ご意見を聞かせて下さい。

早貸　ひとつは、サイバー攻撃をする側の意図が変化しているという点が挙げられると思います。
サイバー攻撃のビジネス化の傾向が進む一方で、最近は、サイバー攻撃を通して自分たちの意見や主義主張をアピールするタイプの攻撃の対象が、従来の政府関係組織等にとどまらず、民間企業にも向かう例が耳目を集めています。この種の攻撃は、活動のアピール自体が目的であるため、犯行予告があったり、攻撃への参加者を募る活動があったり、攻撃に成功したという声明が出たりするので、攻撃があったこと自体が表に出ます。そのため、攻撃された企業がどういう対応をしたかにも注目が集まり、企業側は対応に苦慮する場合が少なくありません。
一方で、米国などでは、標的を絞ったうえで企業秘密や個人情報を長期間にわたって執拗に収集する攻撃も顕在化してきています。システム内にある情報を窃取し続けたり、将来の攻撃への準備を仕込んだりすることが目的なので、こうした攻撃は気づかれないためのあらゆる工夫を凝らして行われます。企業秘密や個人情報といった、企業にとって痛手になる情報が盗まれている可能性が高いにも関わらず、攻撃を受けている企業自身もなかなか気づけないという点で、非常に深刻な問題です。
もうひとつは、攻撃する側の環境の変化が挙げられます。近年、攻撃するためのツールは非常に高度化しており、一方で、このような攻撃ツールや、攻撃ツールを作成するためのツールは、アンダーグランド市場で調達することも可能であるため、さまざまな意図のある主体が、特別な技術をもたない場合であっても攻撃を仕掛けることができるようになってきました。また、スピアフィッシングやソーシャルエンジニアリングなど、システムへの侵入のための入り口を探すための活動も大がかりに行われたりするなど、攻撃が多様化してきています。
これまでのセキュリティ対策においては、ファイヤウォールなどで不正なアクセスや侵入を検知、遮断するなど、システムやネットワークの入り口でどう守るかが主に検討されてきたと思いますが、最近の高度な攻撃は、対象となる組織がどういうウイルス対策ソフトやディフェンス対策をとっているかをあらかじめ調べたうえで、それをかいくぐるようにカスタマイズされた手法を用いて行われますので、堅牢な守りをしている企業でもシステム内への侵入を許してしまうことがあり得ます。
したがって、これからは、システム内に侵入されてしまうことはあり得るという前提で、侵入されても被害が生じないような、また、その事実により迅速に気づくことが可能となるような防御策を講じていく必要があります。さらに現在は、クラウドサービスを通じて、大規模な攻撃を低コストで行える環境になっていることも懸念のひとつです。

研究所ではこれら課題にどう対応しようとしているのでしょうか。

桑名　研究所ではいくつかの柱をもって活動をしていますが、早貸さんからお話しいただいた、「侵入を前提とした対策」と関連するものとしては、暗号化技術が該当します。最近の例では、世界最高水準の安全性と実用性を備えた「Camellia（カメリア）」を商品提供しました。また昨年は、「インテリジェント暗号」という、データ自体が自己主張するという世界初の暗号技術を三菱電機様と一緒に開発しました。

早貸　侵入されても大事な情報を盗み見ることを許さないという点で暗号化技術はとても重要だと思います。利用者に負担を掛けずに、いかに強い暗号を提供できるかがポイントですね。

桑名　そうですね。最近お客さまはクラウド上にいろいろなデータを預けますし、スマートフォンではお客さまの情報をすべてクラウド上で保管して提供するサービスもたくさんあります。もちろんクラウド上のデータは暗号化されて保管されていますが、暗号を元に戻すのに時間がかかるようでは使いづらいので、強くて使い勝手の良い暗号を継続して開発していきたいと考えています。
加えて、マルウェア･･･コンピュータウイルスなどシステムに妨害を与える悪意のあるプログラムをマルウェアと呼んでいますが、このマルウェアを検知、収集、分析する技術を継続的に開発しているのですが、最近は新たなチャレンジとして、「予兆」を見つけられないか、というテーマを研究しています。すでに起こったことへの対策ではなく、起こりそうなことを事前にどう防御していくか。子どもの様子を毎日見ているお母さんは、朝、子どもが起きて顔を見た瞬間に異変を察知したりできます。これと同じようなメカニズムが、システムのなかにあってもいいのではないかと考えて、たとえば、外からシステムをスキャンしにきた時の通常ではない、小さな変化をどうやって見つけるか、そういう変化をどうやって蓄積し、活用できるかなどを研究しています。

早貸　より早期の対応はセキュリティではとても重要だと思います。事後対応はどんなに迅速に行っても、被害の拡大を防ぐ活動にならざるを得ないので、事前に防御ができるというのは期待が大きいですね。経済産業省で行われていた「サイバーセキュリティと経済」研究会でも、ステルス型の標的型攻撃への対応として、予兆とまではいかないのですが、攻撃に気づいた企業等がその検出に必要な情報を関係者間で共有することで、すでに行われた攻撃の検出や2次、3次のステルス攻撃の検知を可能にしていくことを検討してはどうかという提案がされています。NTTの予兆技術が確立すれば、1次攻撃も早く見つかることにつながると思いますので、非常に心強いですね。

現在、このページの4分の2程度です。

このページの先頭へ

グループとしての対応についてお聞かせ下さい。

山川　プロデュースする技術としては、当然、セキュリティも入っていますので、手法的・技術的な対応に関しては研究所と十分議論しています。また、NTTグループとしてのセキュリティ対応については、関連する部門と日々情報共有し、あるべき対応を検討しています。昨今のサイバー脅威の変化への対応において、わが国を代表する電気通信事業者グループとしては、セキュリティ・ガバナンス用語解説という面からも、まだまだやるべきことがたくさんあるのではないかと考えています。
グループには、システムやネットワークサービスをもっている事業会社があり、プロデュースする側としては、「事業会社のどこに、どんな形でノウハウを提供すれば、活かしてもらえるのか」というリサーチをしていくことが必要です。そこで、一昨年から研究所やNTTグループのCSIRT組織であるNTT-CERT用語解説の方々との話し合いの機会を設けて、NTTグループとしてトータルにパワーアップしていく方策を立案中です。具体的には、NTT-CERTのような「CSIRT活動」を、企業グループのコーポレートガバナンス強化の一環として、一層活用できる施策を検討し、普及・啓発することがあげられます。実際、各国政府や民間企業のセキュリティ関係者と話しても、CSIRT活動は脆弱性情報、脅威情報を共有する活動として非常に高く評価されています。
加えて、今プロデューサーとして考えているのは、グローバルな視点をもつことです。さきほど早貸さんから国境を越えた脅威という話がありましたが、NTTグループはここ数年積極的にグローバル化していますので、そうした対応がますます必要になると考えています。

研究所でもグループとしての観点から活動を行っているのでしょうか。

桑名　先ほど山川主幹研究員から紹介頂いたNTT-CERTの活動があります。我々は個々の研究テーマをもつ一方で、CSIRTを運営しており、JPCERTさんの協力を得て情報収集しながら、研究所内で共有し、社内外に展開していくという活動を行っています。

早貸　プロデュース機能を含めて、グループとしてインシデントに対応していく体制があるというのはとても貴重だと思います。大きな企業では、ある部署で起きたインシデントの情報が上手に企業グループ内で共有されなかったために、次々に同様のインシデントがグループ内で発生してしまい、被害が拡大したといった例も耳にします。インシデントへの対応方法に関する意思決定の権限のある部門が法務、経営、広報など多岐にわたり、それぞれが実際に現場で技術を見ている人たちとうまく連携できずに、対応が後手に回るということも少なくないんですね。現場の人は、自分たちが毎日見ていることなので、何か普段と違うことが起きていることに気づく機会があるわけですが、せっかく気がついてもその後の対応体制が整備されていなければ、初期対応が有効に行えない可能性があります。経営層と技術管理の現場がつながること、インシデントは発生するものだという前提で事前の権限付与を検討しておくこと、常日頃からの情報連携が大切なんです。
そうした点で、NTTグループでは、事業会社、持株会社、研究所と、いろいろな立場からインシデントへの取り組みを進められており、連携して対応できる体制が整備されていらっしゃいますね。第1次的なインシデントにも迅速に気づけるだけの人材あるいは正しい知識がグループに浸透しているという点もあり、技術プラス体制整備という、完成度の高いCSIRT組織をおもちだと思います。

桑名　NTTは、ご存じの通り通信インフラを運用しており、お客さまの情報資産を守っていくことが責務です。例えば台風や地震などに直面するたびに、会社として、グループとしてどう対応していくかという発想や行動が鍛えられてきました。東日本大震災では、とくにサイバー攻撃を想定したNTT-CERTの活動として、インターネット等における情報の収集・分析活動を1ヵ月以上にわたって実施し、NTTグループの設備やサービスに対するお客さまからさまざまなご意見やご要望を頂戴することができ、それを事業会社や災害対策本部にフィードバックしたのですが、大変勉強になりました。

畠山　平時からしっかりした危機管理体制があるというのは、通信会社として当然のことだと思いますが、体制をきちんと機能させるというのはまた別の話で、それができてこそ強みだといえると考えています。
そうした考えをもとに、NTTコミュニケーションズでは、サイバー攻撃に対する組織間の連携を鍛えるために、持株会社、NTTグループを含めて、事前に演習するなどして体制の信頼性を強化しています。

早貸　知識だけでなく経験を共有する枠組みができているのは素晴らしいと思います。
そうした企業グループと連携することで得られる研究成果や対応事例は、私たちJPCERT/CCにとってもありがたいことです。今後も、日本国内、アジア地域、さらには、グローバルな視点での協力・連携を進めていっていただきたいと思います。

桑名　研究所としては、ある所で起こっている事例、攻撃パターンの事例等を積み重ねることが、次の研究の源泉、すなわち今後の安心・安全の源泉になると考えています。そうした事例をグローバルに活用していくとなると膨大なデータ量になるのですが、今後もどんどんデータを蓄積し、共有して、それぞれの立場からチェックしながら、PDCAを回していきたいと思います。

現在、このページの4分の3程度です。

このページの先頭へ

セキュリティをさらに普及させ、レベルアップしていくためには何が必要でしょうか。

畠山　日常的にお客さまと接していて感じるのですが、我々がベストプラクティスとして提供するものはどうしてもコスト高になってしまいます。お客さまは当然ながら、セキュリティを高度化しながら、コストを少しでも安くすることを望んでおられます。ただ、限界もあり、Webアプリケーションの脆弱性診断などは、現時点ではツールだけに頼るのは危険で、最終的な判断は、高度なスキルを有する専門家が確実にチェックするのがベストという状況で、こうした人件費を削減することはなかなか難しいのです。

早貸　攻撃が高度化している時により安い価格で高度なセキュリティ・サービスを求められるのは本当に厳しい話ですね。

畠山　ですから、今後はアウトソーシングのニーズが増えると思っています。人材をシェアすることで、コストを相対的に安くする、という考え方です。環境が変化するなかでも、お客さまが求めている安心・安全を提供していくために、我々SOCの活動がその一助になればと思っています。

山川　セキュリティの市場化にどう取り組むかという話ですね。アウトソーシングはひとつの方策ですが、同時に私どもの側でも分析官と呼べるようなハイレベルの人材の育成をさらに強化していく必要があると思います。NTTグループ内には優秀な人材がいるのですが、そのあたりをもっと意識して組織化していく必要があると思います。

桑名　私の課題意識としては、法制度、ガイドラインに関するものがあります。今年6月、サイバー犯罪に対する刑法の改正が国会で可決・成立し、7月から施行されましたが、こうした環境の変化を受けて、今後はセキュリティの監査基準など、クラウドサービスを提供する側、使う側のそれぞれでガイドラインが整備されていくのではないかと思っています。
NTTの研究所では、これまで総務省、経済産業省などの検討会のメンバーとして参加させていただき、ガイドラインの制定などに協力させていただきましたが、こうしたガイドラインに則った新技術の開発を継続していかなければならないと考えています。

山川　さまざまな活動をいかに可視化していくかという課題もあります。お客さまが見てわかるように、また、組織全体のセキュリティレベルを上げるためにも、技術者が具体的に何をやっているかをわかりやすくして、セキュリティ意識を高めていくことが必要です。お客さまとのビジネスを考えると機密の問題があって難しいところもありますが、全体の価値の向上という意味でも、自分たちのやっていることはわかりやすく説明できるようにしたいですね。

早貸　さきほどコストの話がありましたが、攻撃者側は分業化とビジネス連携が進んでいると言われていますので、セキュリティ対策を講じる側においても、競争すべきところは大いに自由競争していただくとして、安全性というシステムの基盤に関わるコストは吸収しあって、共有、効率化しても良いのではないかと思います。 競争の対象となるサービスの質の問題と協力連携して共有化を図るべき情報の範囲をどう切り分けるか、実際には難しいところもあるとは思いますが、日本の産業の競争力強化の観点からも、ぜひ協力を進めていただきたいですね。JPCERT/CCとしてもできる限りの貢献をしていきたいと思います。そのなかで、高い技術力と蓄積されたノウハウをおもちのNTTグループには、ぜひ、この分野をリードしていっていただけるよう期待しています。