企業ネットワーク最前線

<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち

NTT東日本グループの“セキュリティ検査官”の22年「本当は取材を受けたくなかった」

提供◎日本電信電話株式会社 2022.06.20

  • Teitter
  • facebook
  • 印刷

集まったメンバーが、それまで所属していた部署は実に様々。セキュリティに詳しいメンバーもいれば、大湊のようにセキュリティ業務に携わるのは初めてのメンバーも数多くいた。

そんなごった煮のようなチームで、すべてをゼロから立ち上げていかなければならない。直営マインドの大湊にとっては理想の職場だった。
「立ち上げ屋」として尽力2000年というと、インターネットの勃興期だ。「NTT東日本社内にも、インターネットにどんどん親しんでいこうという空気がありました」と大湊は振り返る。インターネットへの期待があふれ、様々なチャレンジが始まっていた。

一方、課題もあった。セキュリティに関して、現在と比べると相当に牧歌的だったことだ。いろいろな部署がインターネットにつながるサーバーを自分で立てていたが、セキュリティのことをあまり考慮せずにサーバーを立てているケースも少なくなかった。「Telnetのポートが普通に開いていて、外部から簡単に接続できるサーバーもたくさん見つかりました」という。

幸いインシデントにはつながっていなかったが、組織的にセキュリティ被害を未然に防止する仕組みを整備しなければ、いずれ大事故につながりかねない。

「当時のメンバー全員で端から全部、1つ1つ順番に取り組んでいきました」。立ち上がったばかりのセキュリティ専門チームは、すぐさま山積する問題に取り組み始めた。大湊自身が担当したのは、例えばインターネットに接続されたシステムの各種セキュリティ調査や、その検査・監査のための基準策定などだ。

NTT東日本での組織的なセキュリティ運用が軌道に乗り始めて数年後の2008年、大湊はNTT持株配下のCSIRT、NTT-CERTへ異動した。

2004年設立のNTT-CERTは、日本のCSIRTの草分け的存在の1つ。NTTグループ全体を支援する役割を担っている。大湊はNTT-CERTにおいて、グループ各社のインシデント対応の支援体制の立ち上げ、セキュリティ製品評価の立ち上げ、NTTグループ内への緊急性の高い脆弱性情報の配信業務の立ち上げなどに尽力した。

自分を一言で表してほしいとの問いに対し、大湊は「セキュリティのジェネラリスト」と答える。「その都度、その時代に求められるセキュリティに携わってきました」

セキュリティを守るための様々な仕組みや基準などを、大湊は自らの手で作ってきた。その結果として、幅広いセキュリティ業務に通じるジェネラリストになっていた。

NTT-ME 大湊健一郎

1つ1つ丁寧に多岐にわたるセキュリティ業務に関わってきた大湊だが、2000年にNTT東日本のセキュリティ組織に参加して以来、そのキャリアの大きな軸となってきたのは、脆弱性などを調査・診断するセキュリティ検査である。

2014年、大湊はNTT-CERTから古巣のNTT東日本へ戻り、インターネットに接続されたWebサイトや業務用システムのセキュリティ検査の主管を担当した。セキュリティ検査業務全体のガバナンス、そして検査で発見された脆弱性等の問題に対して、適切なアクションをとっていくことが主管の役割である。

また、新たな情報システムの開発前に、セキュリティの確保のための制御や機能等が事前に計画されているかチェックを行う業務も大湊の管理領域だった。

この時期、大湊が立ち上げたことの1つに経営会議へのセキュリティ検査結果の報告業務がある。検査で見つかった脆弱性などについて経営陣へ報告するわけだが、事業への影響度や攻撃の容易性をマトリックス化して報告する点が特徴だ。

経営陣が判断しやすいように、例えば、個人情報漏えいにつながり得る脆弱性を「高リスク」や「中リスク」に分類。中リスク以上であれば「すぐ対処しよう」、低リスクであれば「計画的に対処してこう」とし、是正措置の徹底を推し進めた。

大湊は「1つ1つ」というフレーズをよく使う。地道に1つ1つ対処していくのが大湊の流儀だ。ただ、大切なポイントは、その1つ1つとはきちんと優先順位付けがなされた1つ1つだということだ。「全部一律に『いつまでに直せ』みたいなのは違うと思っています」。そして、優先順位が高くない課題にも1つ1つ丁寧に対応していく。

大湊によると、低リスクと分類した脆弱性に対しては、実際に修正作業を行うシステム主管部門の担当者から、こんなふうに対応されることもあるという。「低リスクだから対処しなくてもいいでしょ」

そんなときも、根気よく対処の必要性を説明していくのが大湊だ。


「未然防止力」をもっと広く社会に2020年に大湊はNTT-MEのサイバーセキュリティセンタに異動し、検査・監査の実行部隊のリーダーへと役割を変えた。

2014年に大湊がNTT東日本グループへ戻ったとき嬉しかったのは、2000年から大湊たちがゼロから作ってきた仕組みの多くが残っていたことだった。

大湊がセキュリティに携わり出してから22年、NTT東日本グループでは重大なセキュリティインシデントは起きていない。多くの仲間とともに、セキュリティ被害の未然防止に貢献することができたとの思いがある。

今、大湊が力を入れていることの1つは、セキュリティ検査をはじめとする、NTT東日本グループの「未然防止力」をより広く提供していくことだ。NTT東日本グループの顧客向けセキュリティサービスに関するミッションも、大湊は担い始めている。

NTT-ME 大湊健一郎

「将来、お前が後輩にやってあげろよ」。大湊はこれまで数多くの先輩に助けられてきたというが、感謝の気持ちを伝えると、ほぼ必ずこんな言葉が返ってきた。

「本当は取材を受けたくなかった」。今回の取材を引き受けたのも、後輩からの頼みだったからであり、後輩たちに何かを残すことができるかもしれないと考えたからだ。

セキュリティの現場では日々、新しい脅威が生まれており、前例のない新しい課題にも挑む必要がある。大湊は直営マインドで新たな課題に立ち向かってきた。

セキュリティに終着駅はないが、終着駅を目指して線路を作り続けなければ、途端に大きな被害にのみ込まれかねない。線路屋としてキャリアをスタートした大湊は、今も線路を作り続けている。
  • Teitter
  • facebook
  • 印刷

スペシャルトピックスPR

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】WIRELESS SMART CITY

<Part1> ネットワークとともに進化する都市
<Part2> スマートシティネットワークの作り方
<Part3> 柏の葉に“Meta発”ミリ波無線の実験場
<Part4> スーパーシティ大阪 L5G広域利用の先行事例に
<Part5> ドローン「レベル4解禁」で変わる都市の物流
<Part6> ワイヤレス給電は都市をどう変えるか?

>>詳しい目次を見る

スペシャルトピックス

インテルインテルが進めるネットワーク仮想化 国内キャリアとの最新動向も
SDNとエッジ中心の未来を見据え、通信事業者と進める取り組みとは?
レッドハットインフラの自動化で34%の工数削減 レッドハットのネットワーク自動化2.0
人と人のコミュニケーションも効率化し、圧倒的な自動化を実現する。
i-PROセキュリティカメラの映像を遠隔監視 AI機能でマーケティングなどにも活用
幅広い用途に簡単、スピーディー、リーズナブルに対応するi-PRO Remo.
ジュニパーネットワークスWi-Fi 6E×AIで超効率ネットワーク 無線からWANまでクラウドシフト
ジュニパーはWi-Fi 6E時代に向けて、NW運用をAIとクラウドで効率化!
UniFiWi-Fi 6のライセンス費用がゼロに UniFiならコスパ抜群・簡単管理
圧倒的なコスパと手軽さで、オフィス、学校、工場、病院らが採用
日本マイクロソフト走り出した「5G網をAzureへ」計画
クラウド移行でキャリアは何を得るか

AT&Tの5GコアのAzure移行の狙いと進捗状況をマイクロソフトに聞いた。
ローデ・シュワルツ強みのミリ波技術で6G開発に貢献 1THz対応受信器もラインナップに
ローデ・シュワルツが得意のミリ波技術で6Gへの取組を強めている。

モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」<連載>NTTグループのプロフェッショナルたち
モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」
NTT Comサイバー攻撃事件の舞台裏「侵入者は対策メンバーのアカウントにもなりすましていた」<サイバーセキュリティ戦記>
NTT Comサイバー攻撃事件の舞台裏

「侵入者は対策メンバーのアカウントにもなりすましていた」
セイコーソリューションズISDNからインターネットへ スムーズな移行を可能にするには

ハードウェアを設置するだけ!ISDNからIP網への移行をフルサポート。

AirREAL-VOICE2簡単操作でマイグレーション実現
データ通信だけでなく通話・FAXも

アダプターの入替だけで移行が完了するMIの音声対応LTEルーター

NTTデータINSネットの後継ならお任せ!
移行で伝送時間短縮や負荷軽減

INSネットからの失敗しない移行方法をEB/FBの種類別に紹介しよう。

Wi-SUN AllianceWi-SUN認証デバイスが1億台突破
日本発の世界標準規格の普及加速

2.4Mbpsへの高速化など新たな進化も始まっている。

エヌビディアNTTとLINEが牽引する日本の自然言語処理、この2社がリーダーである理由

3月21日から開催の「NVIDIA GTC 2022 Spring」で知ろう!

ホワイトペーパー

アクセスランキング

tc202012

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます
当ウェブサイトはCookieを使用しています。閲覧を続ける場合、プライバシーポリシーに同意したことになります。