「総点検せよ」 顧客の指摘で見つかった重大な脆弱性

「こんな大きな脆弱性を見逃しているようでは、NTTコムウェアには今後、インターネット公開システムは任せられない」

2019年、NTTコムウェアは重大な事態に直面した。顧客に納品したシステムに、大きな被害につながりかねない脆弱性が見つかったのだ。NTTコムウェアでは、その当時もシステムリリース前の脆弱性診断をルール化してはいたが、診断後に見つかった脆弱性がどう対処されたかまでは追跡できていなかったため、見落としがあった。

幸い、事前に発見されたため、脆弱性が悪用されて実害が発生することはなかった。しかし、事前に見つかっていなければ、一体どうなっていたか――。経営陣は事態を深刻に受け止めた。

この事態が判明した直後に、NTTコムウェアに帰ってきたのが土井だった。新卒でNTTコミュニケーションウェア（現NTTコムウェア）に入社した土井。2016年にNTT持株の研究所へ異動となり、NTTグループのCSIRT組織であるNTT-CERTでインシデントのハンドリングなどを担当後、NTTコムウェアに戻ると、まさに「問題が火を噴いている」最中であった。

「総点検せよ」。経営陣は、同社が開発中のインターネット公開システムすべてについて、全画面・全機能の脆弱性診断を命じた。そして、この“総点検”で中心的役割を担ったのが土井だった。

新卒で入社後、初めて手掛けた仕事がセキュリティ診断サービスの事業化だった土井。その後はセキュリティがメインの仕事ばかりだったわけではないが、数多くのシステムの開発・運用などを経験しながら、自身の得意分野としてセキュリティスキルをずっと磨き続けてきた。

2年掛かりで脆弱性を徹底的に“総点検”

全社的な大号令の下、スタートした“総点検”。土井をリーダーとするセキュリティ品質向上チームは、インターネット公開システムの全開発プロジェクトに対して、脆弱性診断の実施を通知。各システムの脆弱性診断が終わるたびに、「見つかった脆弱性全部について1つひとつ、『これはどう直しますか』『いつ直しますか』と調整していきました」。対象となったシステムの数は、100を超えていた。

セキュリティ品質向上チームの活動に対して、開発現場からは当初こんな言葉も返ってきたという。「プロジェクトマネージャーから『対処しなくていい』と言われている」「その指摘は危険度が高くないので直す予定はない」「『セキュリティ上、改修すべき』と言うのは簡単だが、次期更改までの間は対処できない」…

土井らは、診断で見つかった脆弱性に対する是正方針確認の取り組みの中で、その脆弱性を放置した場合に起こり得るリスクを開発プロジェクトへ丁寧に、具体的に説明することを心掛けた。「潮目が変わったと感じたのは、“総点検”のプロジェクトを始めて半年から1年ぐらい経った頃でした」

脆弱性に対するリスク意識が次第に浸透し、改修に積極的でなかった現場からも「直すことになりました」といった連絡が次々と届くようになった。

そして、全システムの対処確認が終わったのは、 “総点検”のスタートから2年後。最初は3名で始めた“総点検”も、関係各所の協力を得ながら、最終的には16名ほどの規模となっていた。この2年間については、「大変苦労したことを覚えています」と土井は振り返る。

だが、土井はそこで歩みを止めなかった。「この営みは“ワンショット”で絶対に終わらせてはならない」

この土井の決意が、PSIRT設立につながっていった。

NTTコムウェアのPSIRTの活動内容は？

NTTコムウェアのPSIRTの担当範囲は、「開発システムを世に出す前の営みすべて」。7名の専任メンバーによって運営されている。NTTコムウェアには、セキュリティ組織としてCSIRTや社内セキュリティを担当するゼロトラストチームがあり、互いに連携して取り組んでいる。

NTTコムウェアのPSIRTの具体的な活動内容は大きく2つだ。「開発システムのセキュリティ品質向上と、“人”に対するセキュリティスキルの向上です」

開発システムのセキュリティ品質向上については、開発の初期段階から設計・製造工程、出荷前までの各工程にゲートを設け、PSIRTが一気通貫ですべてのセキュリティチェックに携わる。「私たちが特に注力して見ているのは、要件定義後のフェーズで作成される基本設計書です。基本設計書にセキュリティ機能がきちんと盛り込まれているか――。出荷ギリギリで脆弱性が見つかると大変なことになりますから、開発の初期段階からセキュリティ対策漏れを防いでいます」

PSIRTによるチェックをクリアしなければ、次の工程には進むことができない。これにより、セキュリティを企画・設計段階から組み込む「セキュリティバイデザイン」、セキュリティ対策を前倒しで実施する開発手法である「シフトレフト」の徹底を図っている。

“人”に対するセキュリティスキル向上に関しては、PSIRTのメンバーが講師を務めるセキュア開発のための社内研修を年6回ほど開催しているほか、最新のセキュリティトレンドについての啓発活動を目的にした社内セミナーも年3回ほど実施している。社内研修の受講者数は毎回約40名、社内セミナーには毎回100名以上が参加するという。

さらに、OJTによるセキュリティ人材育成にも力を入れている。先ほどPSIRTの専任メンバーは7名と紹介したが、このほかに毎年約20名のメンバーが開発プロジェクトと兼務の形でPSIRTとして活動する。

「PSIRTのミッションは、システム開発に携わるメンバー全体のセキュリティスキルの底上げです。私たちPSIRTのメンバーだけがセキュリティ対策に詳しくなっても意味がありません。実際に開発を担当している人に、OJTで直接教えることによって、現場のセキュリティスキル向上とPSIRTの業容拡大の“一石二鳥”となっています」

至上命題は“負担軽減”　ドコモグループ全体の力に

NTTコムウェアがPSIRTを立ち上げて約3年。土井が現在、「至上命題」と考えているのは、開発プロジェクト側とPSIRT側の双方の負担軽減だ。

「徹底的にセキュリティチェックを行う仕組みを整えた分、プロジェクト側に実施していただくことが増えているのは事実です。それらのチェックに関わる負担の軽減が目下の課題です」。効率的に確認できるようなチェックリストや、プロジェクトが自主的に診断できるチェックツールを整備したほか、2024年度はAIを活用したPSIRTオペレーションの効率化に取り組む計画だという。

また、ドコモグループ全体への貢献にも力を入れていきたいという。

「当社がドコモグループとなって以降、NTTドコモやNTTコミュニケーションズの方と、プロダクトセキュリティについて話をする機会が増えつつあります。私たちPSIRTは、プロダクトセキュリティのプロ集団です。チーム全体のスキルを磨き続け、ドコモグループ全体の力になっていきたいと思っています」

その1つとして最近、ドコモグループとして初のセキュリティコンテストも開催した。

NTTコムウェアでは10年以上にわたり、チームに分かれてセキュリティスキルをゲーム形式で競うセキュリティコンテストを社内で開催しているが、今年初めて、NTTドコモとNTTコミュニケーションズのチームとの合同開催を実現した。「1チーム１～4名で全40チームほどが参加し、リアルとオンラインのハイブリッドで行いました。コンテストの課題に取り組むことで、サイバー攻撃と防御の両方のスキルを身につけ、システム開発にも役立てることができています」

さらにICT業界におけるPSIRTの拡大にも貢献していきたいと話す。

「一般的にプロダクトセキュリティというと、製造業のプロダクトをイメージされることが多いです。しかし、ICT事業においては開発システムや提供サービスが自社のプロダクトそのものであるため、その意味では、すべてのICT企業にPSIRTの機能が必要と考えています。そして今後は、PSIRTの普及拡大に少しでも貢献できれば、と思っています」

＜お問い合わせ先＞
NTTコムウェア
URL：https://www.nttcom.co.jp/