「すべてのモノ・情報・心がつながる世の中を」というコンセプトを掲げ、SDGsに取り組んでいるソフトバンク。「SoftBank SDGs Actions」では、いま実際に行われている取り組みを、担当社員が自らの言葉で紹介します。24回目は、ホワイトハッカーによるセキュリティ対策と人材育成に向けた取り組みです。
話を聞いた人
ソフトバンク株式会社 IT統括 サイバーセキュリティ本部 ISC統括部 CISO室
日名子 聡志(ひなご・さとし)
2001年にソフトバンクBB株式会社(現ソフトバンク株式会社)入社。ブロードバンド総合サービス「Yahoo! BB」の立ち上げに参画し、ネットワークエンジニア、サーバーエンジニアを経て、現在はCISO(最高情報セキュリティ責任者)直下のサイバーセキュリティ本部に所属。15年以上セキュリティの専門職を務める。趣味はガンダムと軍艦のプラモデル制作。
目次
サイバー攻撃から企業を守る「ホワイトハッカー」
昨今、世界情勢が不安定な状況の中でセキュリティリスクは高まってきており、通信を大量発生させて相手をダウンさせるDDoS攻撃(Distributed Denial of Service、サービス停止攻撃)、迷惑メールやフィッシングなど多くの脅威が存在しています。
ソフトバンクが通信事業者として強く意識しているところは、自社のセキュリティだけでなく、お客さまのセキュリティに対しても責任を持っていることです。仮に大規模なサイバー攻撃が発生したとすると、スマートフォンからインターネットに接続できなくなる、電話がつながらなくなる、子どもの位置情報が分からない、110番などの緊急通報ができないといった事態が発生する可能性があります。もっと身近なサイバー攻撃の例では、不正サイトへのアクセスなどによってマルウェアに感染してしまうことで、お客さま自身が意図せず攻撃に加担してしまう場合も。すると、IPアドレスというインターネットの番地を示す番号がセキュリティベンダーのブロックリストに登録されてしまうため、通信制限を受けたり、インターネット上のサービスに接続できなくなる可能性があります。
そのようなサイバー攻撃から企業を守り、リスクを事前に排除するのが「ホワイトハッカー」の役割です。ハッカーとは本来、コンピューターやネットワークに関して深い知識や高い技術を持つ人のことを指し、そのスキルを悪用する「ブラックハッカー」と区別して「ホワイトハッカー」と呼ばれています。
攻撃者と同じ視点で、社内システムの弱点を早期発見
ホワイトハッカーはセキュリティ問題が生じた際に原因究明を行います。セキュリティだけではなく、コンピューターやネットワークに詳しいIT部門からも頼りにされる存在でないといけません。
ソフトバンクでは、「レッドチーム」というホワイトハッカーの精鋭部隊で構成した疑似攻撃専用のチームがいます。レッドチームは世間一般でいうホワイトハッカーとは少し異なり、特別に社内システムに対する攻撃をCISO(最高情報セキュリティ責任者)より許可されたチームと位置づけられています。彼らは攻撃者と同じ目線で社内のサービスを疑似攻撃する権限を持ち、攻撃者よりも先にセキュリティ上の弱点を見つけることがチームのミッションです。
実際のサイバー攻撃は事前告知などなく突然やってきます。レッドチームにおいても、社内システムに対して、事前告知なく疑似攻撃を行うことがあります。ただし、実際に疑似攻撃を行う際には、CPU使用率の異常な上昇や、システムへの過剰な負荷、サービスに影響がないように十分に注意しています。このためにレッドチームは、システムに負荷をかけず、かつセキュリティの検知装置にも探知されないステルス性がある技術を開発し、特許を取得しました。ネットワークシステムの負荷をかけずに総合的にポートスキャンを行うため、運用チームへの負荷をかけずにセキュリティホールを見つけて、システム開発部と連携して早急に対処することができるようになりました。
セキュリティのプロとしての高い倫理観をベテラン社員から学ぶ
通信事業者が対処する問題は、常に新しい対策手法を求められます。いざというときに何でも自作できるくらいのプログラム開発能力やシステム開発能力が必要になるのです。冒頭、通信事業者は自社だけでなく、お客さまのセキュリティに対する責任があるとお伝えしましたが、そういう意味でも通信事業者特有のセキュリティ対策に精通したホワイトハッカーを自社で育てる必要があります。
そこで、レッドチームで、ベテラン社員と新入社員を一緒にホワイトハッカーとして育成する取り組みを開始しました。中高年層のリスキリングをサポートし、新卒にはホワイトハッカーに必要な倫理観や通信事業者としての誇り、あるべき姿勢を、勤続年数が長いベテラン社員から学んでもらう。ホワイトハッカーは業務上、弱点情報を知りえるため、より高い倫理観を持っていることが重要だからです。
ホワイトハッカーは、ほぼ全てのことを1人でできる「オールラウンダー」ですが、ソフトバンクのセキュリティは厳重なため、セキュリティのスペシャリストとしての全てのスキルを身に付けられる環境がありません。そういう意味では、レッドチームは攻撃者目線の特別な組織で、ルールに縛られない自由な環境であるため、ホワイトハッカーとベテラン社員の監督の下、ホワイトハッカーの素質である「何でも屋さん」のスキル育成につなげたいと思っています。
セキュリティリスクを最小限にし、「安心・安全」を届けたい
入社したての頃、先輩社員から、仕事の判断で悩むときは、「お客さまのために」という言葉を文章の頭に置いて、成立するかどうかで判断しなさいと教えられました。今では、「これからの社会を担っていく次世代が活躍するために」という視点も含めて、意思決定をする際に常に心がけています。「これをしたらお客さまや大切な家族に顔向けできない」といった気持ちがセキュリティ担当者としての倫理観につながっているのだと思います。
セキュリティが前提にあって初めてインターネットにつながっていると、お客さまが気にする必要はないと思っています。ソフトバンクはマテリアリティ(重要課題)の一つに「質の良いネットワークの構築」を掲げています。ホワイトハッカーの育成などを通してセキュリティを高めることで、外部からの攻撃を受けない、排除されることのないネットワークの提供を目指していきたい。ライフラインが途絶えることのないように、サイバーセキュリティへの万全な対策を行うことで、お客さまの安心や安全につながると思っています。
つながることが当たり前の日常になっていて、それでいいのです。いずれはきっと、お客さまが料金だけではなく「安心・安全」という観点で通信事業者を選んでいただける時代が来るのではないでしょうか。だからこそ、世界最高水準のセキュリティを実現していきます。
(掲載日:2024年3月15日)
文:ソフトバンクニュース編集部
ソフトバンクのサステナビリティ
今回紹介した内容は「質の高い社会ネットワークの構築」に全力を尽くすことで、SDGsの目標「9、11、13、16」の達成と社会課題解決を目指す取り組みの一つです。