4億5000万回の攻撃を“手順化”で防ぎ切る
2018年、東京2020組織委員会のセキュリティチームの約20名のコアメンバーの1人に抜擢された大西。力を注いだ仕事の1つがセキュリティ運用の最適化だった。
「小さなインシデントなら、誰でも何も考えずに対応できるように、セキュリティ運用の手順化を進めました。システムの設計段階でも手順化は行っているのですが、実際に運用段階になると、まだ手順化できていなかった部分がやはり出てきます」
世界最大級のイベントは、浴びるサイバー攻撃の数も世界最大級だ。大会開始の約1カ月前から一気に増員される運用メンバーたちと力を合わせ、1日2交代の24時間体制で大会を守り切るには、全メンバーがインシデントに手早く対応できなければならない。そのためには、対応手順の定型化を進める必要があった。
「手順化できるものは、すべて手順化していきました。さもないと、想定外の重大インシデントが起きたとき、他のインシデント対応に追われ、十分な動きがとれないことも考えられたからです」
さらに定型化した手順の成熟度もどんどん上げていった。用いた方法の東京2020組織委員会内での呼び名は「サイバーウォーゲーム」。
「攻撃役のレッドチームと防御役のブルーチームに分かれ、本番さながらの攻撃を繰り返しながら、運用手順を洗練させていきました」
大西らが大会期間中、受けた攻撃の数は約4億5000万。そのすべてを防いで大会は無事終了した。
ただ、大西の出向中、NTT Comでは重大なセキュリティインシデントが起きていた。社内ネットワークへの侵入を許し、工事情報管理サーバーと社内ファイルサーバーの一部に不正アクセスされたのだ。
NTT Comは再発防止策の一環として、PCとサーバーの振る舞いを監視するEDR(Endpoint Detection and Response)、社内ネットワークの通信を監視するNDR(Network Detection and Response)、攻撃者の振る舞いを可視化するUEBA(User and Entity Behavior Analytics)の3つのソリューションを導入してセキュリティを一層強化した。
「社内ではEDR/NDR/UEBAを“3種の神器”と呼んでいますが、これらのソリューションからアラートがいっぱい流れてきて、メンバーの稼働状況はだいぶ逼迫した状況でした」
久しぶりに社内に戻った大西は、現場の状況をこう感じると同時に、「すごいタイミングだ」とも思ったという。
なぜなら、大西が東京2020組織委員会で培ったインシデント対応の手順化のノウハウを存分に活かせる状況だったからだ。さらに、「オリパラでは時間が足りず、心残りだった」というインシデント対応の自動化も強く必要とされている状況だったからである。
大西は帰任後すぐさま、セキュリティ運用のDXに取り掛かる。
SOARをNTT Com-SIRTのメンバーで内製
NTT Com-SIRTでは従来、セキュリティアラートへの対応手順について大まかなマニュアルは用意していたものの、手順化というほどの定型作業化は行っていなかった。
そこで大西は、手順化が可能なアラート対応の手順をきめ細かく定めながらシステム化、すなわち自動化に着手する。
自動化にあたっては、まずアラートの発生状況や対応状況を管理するチケットシステムを見直した。それまで使っていたチケットシステムはAPIに対応しておらず、複数の外部ツールとの連携が難しかったためだ。社員全員がアカウントを持っていたServiceNowに切り替えることにした。
さらに、注目を浴び始めていたSOAR(Security Orchestration, Automation and Response)も導入することにした。SOARは、複数のツールを連携させながら、セキュリティアラートの管理や対応を自動化するソリューションである。具体的には、Microsoft Sentinelを採用することにした。
ServiceNowとSentinelをプラットフォームにした自動化のためのシステムは、NTT Com-SIRTのメンバーで内製した。NTT Com-SIRTのメンバーは、システム開発のプロフェッショナルではない。だが、ServiceNowやSentinelはローコードで開発できたからだ。「GUIで簡単に開発できるので、『これならできる』と。メンバーみんなも『自分たちで開発したい』とモチベーションは非常に高かったです」
Microsoft Sentinelの開発画面。このようにGUIベースで開発が進められる
大西がNTT Com-SIRTに戻った2022年1月にプロジェクトはスタートし、その年の4月には早くもシステムの一部が稼働し始めた。
セキュリティ運用DXのビフォーアフター
DXによってセキュリティアラート対応はどう変化したのか。そのビフォーアフターを見ていこう。
以前はセキュリティアラートの通知をメールで受け取り、そのアラート内容をチケットシステムに手入力していた。しかし今はチケットシステムに自動で起票され、メンバーにはMicrosoft Teamsで通知されるようになっている。
「我々はTeamsだけを見ていればよくなりました。Teamsの通知をクリックすると、アラートの内容が全部入力されており、すぐ行動に移せます」
誤検知のアラートの大半を、自動処理できるようにもなった。
「まずAというツールで調べて、次にBというツールで調べてといったように、アラートが上がったときの対応は大体共通しています。アラートが誤検知であることは多いですが、そこで一連のフローをシステム化し、人が判断しなくても、『こういう結果だったら誤検知としてクローズさせる』という風に自動化しました。メンバーは、SOARによる自動調査では判断が付かなかったアラートだけに対応します」
これにより、人手で処理しなければならないアラートの数は、自動化前と比べて60~70%も削減されたそうだ。
セキュリティアラートが発生すると、チケットシステムに自動で起票され、Teamsに通知が来る。そして、SOARが自動調査して問題ないと確認されれば、「チケットがクローズしました」とその報告もTeamsに自動でされる。なお、SOARの自動調査に問題がないかは、定期的にチェックしているという
これらはセキュリティアラート対応の自動化の一例だ。「システムは日々進化しています」。運用現場から出たアイデアをすぐ実装するアジャイル開発を、NTT Com-SIRTでは今も続けており、月1回のペースで新機能をリリースしているという。
「明けない夜はない」
東京2020オリンピック・パラリンピックを無傷で守り切った大西。しかし、当然苦い経験をしたことも何度もある。
そんなとき大西は「明けない夜はない」と考えるという。「インシデント対応の最中は苦しいです。しかし、再発防止策も終わり、新しい試みが始まったときには、嬉しい気持ちも湧き上がります。もちろんインシデントは起こらない方がいいわけですが、試練を乗り越え、成長の機会にできたのですから」
セキュリティの仕事を自ら選んだ大西は、NTT Comのセキュリティのさらなる向上を目指している。
<お問い合わせ先>
NTTコミュニケーションズ
URL:https://www.ntt.com/business/services.html#lc06
