3月9日木曜日、日本の情報セキュリティ、サイバーセキュリティにおける情報共有の歴史に新しい1ページを開くような「事件」が起こる。
NTTコミュニケーションズは2020年5月28日、同社設備が攻撃者からの不正アクセスを受けたことを明らかにした。撤去予定であったため対策が相対的に手薄になっていたサーバなどが狙われたもので、何よりもNTTコミュニケーションズのようなセキュリティ業界の牽引者さえ攻撃を受けたという事実が多くの管理者を震撼させた。
NTTコミュニケーションズ株式会社 情報セキュリティ部 部長 エバンジェリストの小山 覚(こやま さとる)氏は、3月9日から3月11日まで、東京駅の真ん前にあるJPタワーで開催される、Security Days Spring 2022の会場で、この事件の調査結果をつまびらかにし、そこから得た教訓を不特定多数の来場者に向け情報共有する。
インシデントや被害事例を共有して対策の助けにする。これはあくまで建前。
実際は他社の情報は欲しいが、自社の情報は1ミリも出したくない。自分の得しか考えない。たとえ出したくてもそもそも会社が許さない。
小山氏が不正アクセスの被害事例を講演することが社内に知れると、社内では「また狙われる・お客様の信頼を落とすからやめてほしい」といった強い反対意見もあったという。それをどうやって説き伏せたのか、取材中に水を向けたのだが、そのプロセスについて小山氏はただの一言(いちごん)も語らなかった。本物である。反対した人たちへの優しさがあるのだ。
「ひとつだけ申し上げておきたいのは」と、前置きして語った言葉は、次の通り。
「今の攻撃者はすごい技術を持ってますので、一発目の攻撃はもう防ぐことが難しいと思います。しかし二発目の攻撃は、情報共有すれば防げるかもしれないので、だから業界や、同じようなインフラを持っている仲間同士で情報共有して、二発目の攻撃を受けないようにするのが、自分の被害を外に伝えていく一番大事な意味なのかなと思っています。それが情報共有っていうもんだと思いますね(取材時の会話の文字起こしママ)」
自分の得ではなく他人の得。セキュリティの仕事に携わる者が等しく持つべき志である。
他人の事例を漁り自分から情報共有をしない紳士の周りには、やがていい人は集まらなくなる。必死で集めた金貨をインシデントの炎に投げ込む日が来ないとも限らない。
すでに小山氏は、ここに改めて記す必要もないほど日本のセキュリティに貢献してきた。しかし、今回の決断と、それを社内で通した胆力と行動力をセキュリティに携わる人はこれからさき忘れてはならない。
そして、事故の教訓から学んだNTTコミュニケーションズが、今回社会に問う新しい製品にもぜひ心を向けてほしい。本セッションは前半と後半にわかれており、後半をメンロ・セキュリティ・ジャパン株式会社 シニア・システム・エンジニア・マネージャの寺田 大地(てらだ だいち)氏が登壇する。
「NTTコミュニケーションズのような大手に代理店になってもらえてラッキー」などと考える能天気な製品担当と寺田氏は大きくかけ離れている。CISSP他の資格を有する寺田氏は、PGPをふりだしに、Symantec、FireEyeなど、主要セキュリティ企業各社が業績の右肩上がりの上昇曲線を描くのを、その敏腕で支えた人物だ。
めったに見ないやり方で、しかもNTTコミュニケーションズほどの大企業で、セキュリティの情報共有の正論を見事に通してみせた小山氏を見た寺田氏は、改めて身が引き締まる思いがしたに違いない。
メンロ・セキュリティの製品は、アイソレーション、無害化を提供するサービスだ。これまでの「攻撃を検知し」「アラートが上がり」「それに対応する」という、セキュリティの大前提となってきた条件を変えるポテンシャルを持つテクノロジーである。この技術をコアに、ZTNA(Webアプリケーションへのゼロトラストネットワークアクセス)などのソリューションを提供する。
「(メンロ・セキュリティの製品は)外から中に入ってこないという逆転の発想に取り組まれているところが素晴らしいんじゃないかなと思う。中の環境をあまり変えることなく導入されるところもいいと思う(小山氏)」
これまでは高価な印象があった(事実そうだった)アイソレーションだが、メンロ・セキュリティ・ジャパンとNTTコミュニケーションズがパートナー関係を結ぶことで、必要な機能の絞り込みを行い、中堅中小企業向けのパッケージ「Isolation Lite(アイソレーション ライト)」の提供を開始している。この新サービスの説明もまた、セッションの中で行われるが、なんと月額での利用を可能にした。
「実例に見るサイバーセキュリティの教訓とセキュリティの強化策」これが3月9日水曜日10時40分AMから行われる、小山氏と寺田氏両名による講演のタイトルだが、まさかここに書いてある「実例」が講演当事者の事案だなどとは最初夢にも思わなかった。大したことを可能にしたものである。小山氏は社会に向け「俺を見ろ」と静かなメッセージを発している。この講演、敬意を持って「目撃」したい。
このセッションは、会場だけでなくオンラインによるライブ配信もある。「その場だけの話」にも充分できたはずだ。だがあえてその選択肢を捨てた。画竜点睛を欠かさなかった。
3.9(水) 10:40-11:20 | RoomA
実例に見るサイバーセキュリティの教訓とセキュリティの強化策
NTT コミュニケーションズ株式会社
情報セキュリティ部 部長 エバンジェリスト
小山 覚 氏