- 目次
1.昨今のセキュリティ課題
昨今、「人/体制」「技術」「法律/基準」など幅広い領域において複雑に絡み合っているセキュリティ課題を解決しなければ、十分な情報セキュリティを実現できない状況となっております。単一のセキュリティ施策での対処は困難であり、複数の施策を適切に組み合わせる必要がありますが、企業や団体組織が対応するにあたり、以下のような課題があります。(図1)
- SOC(※1)/CSIRT(※2)は存在するが、適切に機能しているか不明瞭
- 組織におけるセキュリティ有識者の不足
- 「内部不正」や「サプライチェーンリスク」といった新たな脅威への対処が必要
- 政府からの要請やレギュレーションの改訂に伴い対処が必要だが、知見がないため困難
- どの課題から着手すべきか優先度付けが困難
図1:幅広い領域におけるセキュリティ課題
これらの課題を解決し、十分な情報セキュリティを実現するためにNTTデータサイバーセキュリティ技術部では、サービスを提供・開発しております。本記事では、「セキュリティ運用」に特化したサービスを中心に紹介いたします。
2.CSIRT as a Serviceの紹介
幅広い領域におけるセキュリティ課題を解決するため、NTTデータサイバーセキュリティ技術部ではサービスを提供・開発しております。そのサービスが、「CSIRT as a Service(以下、CSIRTaaS)」となります。
CSIRTaaSは、「セキュリティ運用」におけるコンサルティングから構築、運用、改善まで一気通貫で提供できるサービスです。図2は、CSIRTaaSの全体像となります。
図2:CSIRT as a Serviceの全体像
CSIRTaaSは、以下の3つのサービスから構成されています。
2-1.SOCサービス
SOCでは、各種セキュリティ機器を監視し、アラートが出力された際にインシデント調査を実施し、事前に定められた閾値、フローに基づきCSIRTへエスカレーションします。NTTデータでは、世界56ヵ国にまたがる拠点を監視するグローバルSOCを構築・運用しており、このノウハウをお客さまSOCに展開可能という点が本サービスの特長となります。ノウハウの具体例としては、以下が挙げられます。
- 毎月数千億件以上のログをSIEM(※3)上に集約/分析する仕組み
- 24時間365日、休みなくインシデントを検知できる仕組み
- 自動化技術を駆使し、24時間以内にCISOへエスカレーション可能なスキーム
既にグローバルSOCを構築・運用しているからこそ、地に足の着いたお客さまへの支援が可能となります。
2-2.CSIRTサービス
CSIRTでは、SOCからのエスカレーションを受けた後、お客さまや外部セキュリティ団体と連携しながらインシデント対応を実施します。また、平時においてはより良い運用になるよう、運用評価/改善活動に従事します。NTTデータのCSIRTは、ガートナーよりグローバルトップレベルの評価を獲得しており、またインシデントをハンドリングできる有識者が数十名単位で在籍しております。グローバルトップレベルのCSIRTを有している日系企業は稀であり、SOC同様、自社のノウハウをお客さまに展開可能という点が本サービスの特長となります。ノウハウの具体例としては、以下が挙げられます。
- 情報セキュリティ対策の推進や対応手順(ガイドライン、マニュアル)の策定方法
- 現場社員向けのインシデント訓練
- 脆弱性情報、サイバー攻撃などの脅威情報、他社インシデント事例の展開
SOC同様、自社でレベルの高いCSIRTを構築・運用しているからこそ、地に足の着いたお客さまへの支援が可能となります。
2-3.IRDサービス
IRDは、インシデントレスポンスディレクター(セキュリティ有識者によるインシデント対応)に加え、教育やアドバイザリーも含めた総合的なセキュリティサービスとなります。SOCやCSIRTだけではリソース的に対応が難しいインシデントが発生した場合、インシデント有識者であるIRDが現地へ派遣され、フォレンジックを含めた高度なインシデント対応でお客さまを支援します。また、平時においては、CISOなどの経営者層やお客さま組織セキュリティご担当者さまに対し、サイバーセキュリティ戦略検討支援や教育、よろず相談といったことも実施します。
先述したSOC、CSIRTの構築・運用を通じ知見を蓄積してきたNTTデータにはインシデントレスポンスの専門家が多数在籍しております。この専門家が、実際にインシデントが発生した際、速やかにクローズに向けて支援するのが本サービスの特長です。
2-4.CSIRTaaSの効果
冒頭で、各領域において複雑に絡み合っているセキュリティ課題に対しては、単一の施策での対処は困難であり、複数の施策を適切に組み合わせる必要があることをお伝えいたしました。
そこで、CSIRTaaSの出番です。
「セキュリティ運用」において、コンサルティングから構築、運用、改善まで一気通貫で支援を提供する本サービスを活用することで、冒頭お伝えした各領域における課題が解決可能となります。
例えば、「人/体制」における課題ですが、以下が挙げられると冒頭でお伝えしました。
- 適切に機能するSOC/CSIRTの構築・運用が困難
- 自組織におけるセキュリティ有識者の育成
課題に対して、「SOC」「CSIRT」サービスの提供により適切に機能するSOC/CSIRTの構築、運用が可能となります。また、「IRD」サービスの提供により、組織内セキュリティ有識者の育成、SOC/CSIRTの評価、改善が可能となります。このように、複雑に絡み合っている課題であっても一気通貫のサービスを複数組み合わせることで解決可能となるのです。(図3)
図3:CSIRTaaSの効果
3.事例紹介
さて、ここからはCSIRTaaSの活用事例を一つ紹介いたします。
とある製造業者さまでは、ビジネス拡大や会社買収、海外拠点設置により、グローバル多拠点化が急進されておりました。国内拠点については、お客さまの情報グループ会社さまが管理されていましたが、拡大された海外拠点についてはセキュリティ施策や状況を十分に把握していませんでした。
本状況を踏まえ、NTTデータにてセキュリティアセスメントを実施し、以下の課題を導出しました。(図4)
- 国内外拠点における意識/対応レベルの差により、G全体としてのセキュリティリスク増加
- 拡大拠点に比べお客さまの体制が不足しており、検知や検知後の対応における対策が不十分
図4:お客さまの現状および課題
この課題を解決するため、NTTデータは、CSIRTaaSの「IRD」と「SOC」サービスをお客さまに提供いたしました。(図5)
IRDでは、世界各国商業環境や基準に対応するノウハウをもとに、国内外グループ会社を含むセキュリティガバナンスを強化するためのコンサルティングを実施しました。
SOCでは、NTTデータのグローバルSOC構築・運用のノウハウをもとに効率的な運用・監視が実現できることを訴求し、お客さまのSOC運用をお任せいただくことになりました。
図5:NTTデータの支援内容
NTTデータでは、グローバル展開を拡大していくお客さまが直面されている課題を既に克服し、グローバルSOCを構築・運用しており、そのノウハウを活用して、同じような課題に直面したお客さまに対し、地に足の着いたご提案やご支援が可能です。
4.最後に
本記事では、NTTデータサイバーセキュリティ技術部が開発・提供しているアセットとサービスについて紹介しました。NTTデータには、グローバル全体で約1,000人のセキュリティスペシャリストが在籍しており、日々、お客さまの課題解決のため尽力しております。セキュリティにお困りの際は、ぜひNTTデータにお声がけください!