2019年に実施したサイバー攻撃対応訓練の様子
通信事業だけでなく、さまざまな事業を手がけるソフトバンク。顧客情報をはじめとした膨大な量の情報を守り、お客さまに安心してサービスを利用していただくために、情報セキュリティは非常に重要です。ソフトバンクがどのようにサイバー攻撃に備えてているのか、担当社員へのインタビューを通してお伝えしていきます。
第2回目は、インシデント発生時に最前線で指揮を執る現場責任者にインタビュー。ソフトバンクではどのような体制でサイバー攻撃や情報漏洩などのリスクに備え、問題が発生したときはどう対応しているのか。日頃の業務内容やサイバー攻撃に備えた訓練の裏側などを聞きました。
技術管理本部 ISC統括部 セキュリティマネジメント部
サイバーインシデントレスポンス課 課長
松本 勝之(まつもと・かつゆき)
総勢200名が1つのチームになり、総力戦でサイバー攻撃を防ぐ
まずは、所属する部署のミッションを教えてください。
私が課長を務めるサイバーインシデントレスポンス課は、サイバー攻撃による情報漏洩やサービス停止といった事件・事故、いわゆる「セキュリティインシデント」の防止と、発生時の対応がミッションです。
ただ、近年のサイバー攻撃は高度化・巧妙化しているため、一つの部署だけで対応できるものではなく、さまざまな部署が連携して対応する必要があります。私たちの課が事務局となり、社内のスタッフ200名ほどで構成される「CSIRT(Computer Security Incident Response Team)」という組織を結成し、対応にあたっています。
セキュリティインシデントが起きると、具体的にどのような被害が出るのでしょうか?
サイバー攻撃と言っても、サーバーに負荷をかけようとしたり、情報を不正に入手しようとしたり、コンピューターウイルスに感染させたりとさまざまなものがあります。攻撃内容によって被害は異なります。
一般的な事例として、顧客情報や営業秘密の漏洩があります。これらの情報が盗まれてしまうと、お客さまや取引先に大変なご迷惑をかけてしまいます。攻撃によってはネットワークやサーバーが正常に機能しなくなり、サービスを停止しなくてはならない可能性もあります。日々の暮らしやビジネスに欠かせない通信インフラが突然使えなくなるようなことは、絶対にあってはなりません。
実際にサイバー攻撃が発生したら、どのように対応するのでしょうか?
異変を検知したら、まずは被害の拡大を防止し、原因を一刻も早く突き止めなければなりません。原因を正しく特定できなければ、また同じような攻撃を受けたときに被害が出てしまうので、このプロセスはとても重要です。
どんなログが出力されているか、システム上の問題はないかなど、さまざまな観点から原因を探ります。原因が判明すれば、それに応じて必要な復旧作業を行います。その間、お客さまには大変な不便を強いることになるので、少しでも早く解決しようと必死です。時間との戦いなので、プレッシャーは大きいですね。
実際のサイバー攻撃を想定した訓練で対策をブラッシュアップ
2019年に実施したサイバー攻撃対応訓練の様子
近年、企業を標的にしたサイバー攻撃が増え、手口も巧妙化しているようです。最近、よくある事例を教えてください。
増えているのが、サーバーやネットワーク機器の脆弱性を突いて不正アクセスする、あるいはランサムウエアと呼ばれるコンピューターウイルスの一種に感染させることによって組織内のデータを暗号化して使えなくし、解除するための金銭を要求するといったケース。また、機密情報を取得して「お金を払わなければ一般に公開する」とか、「DDoS攻撃をする」といった脅迫メールが届くケースも確認されています。つまり、情報やネットワークを“人質”にして、身代金を求めるのです。
身代金……、企業も個人も、さまざまなリスクに晒されているんですね。
そうですね。世界中どこでもでつながることができる今だからこそ、さまざまな場面でリスクが生じやすいとも言えます。
サプライチェーン攻撃といって、多くの企業が取引先や関連企業とつながっていることを悪用され、取引先がサイバー攻撃を受け、そこから自分たちの会社に被害が及ぶケースもあります。
最近はテレワークが普及し、オンラインのやりとりがますます増えてきました。セキュリティ上の問題が出てくることはないのでしょうか?
テレワークのために、VPN接続(インターネット上の仮想の専用回線)でネットワークを組む企業が増えました。これによって、どこからでも会社のネットワークへのアクセスが可能になり、便利になった一方で、VPN機器の脆弱性を突いて攻撃されるケースはありますね。
企業を標的にした攻撃が増える中、ソフトバンクではどのように対策をしているのでしょうか?
さまざまな対策を行っていますが、一例として、年に数回、攻撃手法や守りたい情報に合わせて必要な訓練を行っています。例えば、不審なメールが送られてきたときに、不用意に開いてしまわないよう注意喚起する「標的型攻撃メール訓練」などは想像しやすいかもしれません。
その中でも、私の課では主に通信やネットワーク、サーバーの運用に関わる社員を対象に、実際に起こりそうなシチュエーションを設定して、適切な対応方法を確認する訓練を実施しています。事務局と現場のベテラン社員で作成したシナリオを基に、異常発生時の対応手順を1つずつ確認しながら解決までの作業を実際に行う、ロールプレーイングのような訓練です。
例えば、どのようなシナリオがあるのでしょうか?
サーバーを対象にした訓練なら、まずは「ウイルス検知ソフトがアラートを発報した」といったイベントからスタートします。提示されたイベントに対して、参加者には「サーバーにログインして原因を調べます」など、どのように対応するかを宣言してもらいます。その後、変化していく状況や条件に応じて「まずは誰に連絡するか」「どの時点でサービスを停止させるか」などといったことを確認していきます。
まるで防災訓練のようですね。
そうですね。防災訓練と同じように、日頃の準備や対応マニュアルが、いざというときにきちんと機能するか、検証することが大切です。実際にシミュレーションしてみることで、上手くいかないところや、理解が不十分だったところなどに改めて気がつくことができ、その知見を自部門に持ち帰ったり、業務フローを見直したりすることにもつながります。
日進月歩のサービスに合わせ、最先端の勉強が欠かせない
この仕事のやりがいや醍醐味は、どんなところにあるのでしょうか?
テクノロジーは日々、すさまじいスピードで進歩しています。それに応じてセキュリティ面で求められるものも変わってくるので、ついていくには常に最先端の勉強が欠かせません。大変な面もありますが、そこが逆に面白いところでもありますね。
自分で勉強することはもちろん、業界内での情報交換も欠かせません。この分野では、どの会社もサイバー攻撃という“共通の敵”と戦っています。そのため、業界や会社の垣根を超えて情報やノウハウを共有し、みんなで力を合わせて戦っていこうという連帯感があるんです。そんなところも、この仕事の魅力かもしれません。
長年この仕事に携わってきて、習慣になってしまっていることや「職業病だな」と感じることなどはありますか?
さまざまなリスクを知っているだけに、警戒心は人一倍強いかもしれません。プライベートでネットショッピングをするときも「このサイトに情報を入力して大丈夫だろうか」と考えたり、メールでも「この添付ファイルを開いても大丈夫だろうか……」など、つい心配してしまいます(笑)。
本当はオンとオフでバシッと切り替えられるといいのですが、実はこれといった趣味がないんです。上司からは「何か趣味を見つけたほうがいい」と言われてはいるのですが……。オフの日くらい電波の届かないところに行きたい、とは思っています(笑)。
最後に、今後の目標などがあれば、教えてください。
サイバー攻撃を100%防ぐことは難しいのが現実です。それでも発生する確率を少しでも下げ、被害を最小化することが重要だと考えています。この仕事はどうしても、何か事故が発生したら対応する、というように後手に回りがちなのですが、できる限り事前にリスクを予測し、予防策を打つようにしていきたいです。
それから、後継者を育てることにも力を入れていきたいですね。自分の持つ知見やノウハウを伝え、次の世代を育てていくことは今後の課題です。
(掲載日:2021年2月3日)
文:関川隆
編集:エクスライト
ソフトバンクの情報セキュリティ
ソフトバンクが提供するサービスを安心してご利用いただけるよう、情報漏えいリスクに対してさまざまな対策を講じ、常にお客さまをはじめ社会からの信頼を得るため、情報セキュリティの強化に努めています。
