2024 年 3 月 12 日 ~ 3 月 15 日に開催された総合セキュリティカンファレンス「Security Days Spring 2024(なお Security Days Fall 2024 は 10 月開催)」。初めて Security Days に足を運んだ筆者は、最終日の千秋楽とも言える時間帯にスケジュールされていた日本電信電話株式会社の講演に興味を惹かれた。なんと登壇者は、NTT「グループ」の CISO だ。
こんな役職の人は、もし同じ社内に勤めていても、ほぼ生涯お目にかかる機会は無いレベルだろう。しかも講演は KITTE のワンフロアで、席数も 100 を下回る規模だ。幕張メッセの大会場なら納得だが、「雲の上の人」が市井に降り立ったような違和感がある。これが筆者が感じた一つ目の疑問だった。さらにセミナータイトルは「ワールドクラスをめざすNTTグループのセキュリティの取組み」だという。社名に「日本」とあるように国内の通信インフラを担う日本電信電話の言う “ワールドクラス” とは一体、どういう意味なのか。
●顧客情報漏洩インシデントは、巨大グループ会社全体の信頼問題
セキュリティに携わる人物特有のストイックさを身にまとった初老の紳士。登壇した日本電信電話株式会社(以下、NTT)のグループ CISO の横浜 信一 氏は、冒頭の挨拶で私の一つ目の疑問に見事に答えを出してくれた。
「最初に、まず皆様に『社会の信頼を NTT としては取り戻したいと思っています』ということを申し上げさせていただきたいと思っております。(中略)今日の講演もその一環として、NTT がどんな取り組みをしているのかということを皆様に知っていただきたいという思いで受けさせていただいたところでございます」
ScanNet 読者諸兄諸姉の皆様におかれては既知かと思われるので詳細は割愛するが、2023 年 10 月に NTT西日本が公表した顧客情報漏洩インシデントは、その衝撃の大きさからもいまだ記憶に新しいところだろう。この時登壇した NTTグループ CISO 横浜氏は、まさにこの件のオンライン会見にて矢面に立った、その人である。
このイベントが開催されたわずか一週間前の 3 月 8 日、NTTグループとして重要情報の漏洩防止策を発表したご本人ということで、その登壇の意味合いは、単に肩書き以上の重みと臨場感を伴ったものであったように思う。西日本に住んでいる筆者としては、この挨拶を聞いただけでおなかがいっぱい胸いっぱいになったというか、その後の話はしばらく頭に入って来なかった。もはやこの方、これを言うためだけに各地の講演会場をまわっているのではないだろうか、と邪推してしまった。
本記事を脱稿するにあたり本件のプレスリリースを確認したところ、2024 年 1 月 26 日が初出だが、8 月 1 日にも情報の更新が行われていた。原因を突き止め、再発防止策を講じるのは当然のこととして、グループ会社全体としてこの件を非常に重く、また継続的に取り扱っていることが感じられる。
●ビフォーオリパラ、アフターオリパラ
講演中に大きく取り上げていたトピックとして印象に残ったのは、2021 年に開催された「東京2020オリンピック競技大会」におけるサイバー攻撃の防御がいかに実現されたか、という点。様々な企業からセキュリティに関する精鋭が集ったサイバーセキュリティチームであったが、NTT も大きな役割を果たした。“ワールドクラスな貢献” という意味では、この成功を印象づけたい意図を感じた。
2020 年に予定されていたこの大規模な競技会だが、世界規模の感染症拡大という未曾有の事態により開催が 1 年延期されたのはご存知の通り。IT の世界で 1 年という時間は、ときに仕事の前提が全く変わってきてしまう程の大きな変化を意味する。2024 年現在では当然のように語られるサプライチェーン攻撃や大規模なインフラ環境でのインシデントも、思い返すとこの頃から激化している。「お金目当ての犯罪グループが、国の安全保障、あるいは経済安全保障にまで影響を出すというようなことが、実際起きた」と横浜氏は語り、その影響力の重さを感じた。
当然のことだが、NTT はセキュリティ企業ではなく、通信インフラを担う企業だ。横浜氏はまず、コロナ禍での競技会開催により、求められる通信インフラの環境が全く変わってしまったことを述べた。競技会場に観客が集まるのと、無観客で全員がネットワーク越しに観覧するのでは、通信負荷が変わってくるのは当然だ。最終的に無観客となったこの競技会について横浜氏は「おそらく世界史上、いちばん通信インフラに依存した競技大会になった」と表現していたが、あながち大袈裟なものではないだろう。
幸い大きなトラブルは無かったと公式にも発表があった競技会中、しかし、実際に何もなかったのかというとそうではなく、期間中で合計 4.5 億回もの攻撃の遮断を行っている。NTT は同社マネージドセキュリティサービス「Wide Angle」が提供する、専門分析官によるスレットハンティングや脅威情報、及び NTT 各社から集結させた総勢 200 名の人材による SOC サービスでこれらの攻撃を防御したという(大会終了後 200 名は得た知見を手に各社に戻り活躍しているという)。
もしも何か起きて通信が遮断されたら、世界中が影響を受けてしまう ── このようなプレッシャーにさらされた環境保守を担った運用チームの胆力は、間違いなくワールドクラスレベルへと限界突破したと思われる。
● NTTグループの構成から、内部統制について語る
セッションの後半でフォーカスされていたのは、NTTグループ内部でのセキュリティ統制についての話題だ。冒頭で NTT西日本の話題が出ていたので、足下でどのようなセキュリティを実施しているのかという地道な話題が続くかと筆者は予想したが、その前段階として、横浜氏から NTTグループ会社全体についての解説が比較的詳しく語られた。
