サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。
対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提条件の1つだ。OA環境に対して検証を行う場合、この“ゲームのルール”に基づき、攻撃者に乗っ取られたという想定の対象組織のユーザー権限を持つ5~10台ほどのPCがTeam Vには貸与される。
レッドチームとは、ターゲット組織のセキュリティ強化を目的として、模擬的にサイバー攻撃を行い、潜在的な脆弱性などがないかを検証するチームのこと。対する防御側は、ブルーチームと呼ばれる。
社内への侵入を許した後、いかに攻撃を素早く検知し、重要情報を守れるかを、ブルーチームは試されることになるが、これまでの戦績はどうなのだろうか。
「一般的に攻撃者は、まず最初に対象組織の管理者権限の奪取を狙います。演習では、ほぼ確実にレッドチーム側で対象組織の端末の管理者権限は取れていて、さらに内部へと潜り込み、本来閲覧できないはずの機密情報にもアクセスが成功しています。我々は攻撃者として、最上位の攻撃を仕掛けていますから、ブルーチームが見つけることができないのは、ある意味、仕方ありません」
こう話すのは、Team Vのメンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹(はだひろき)だ。
NTTグループは、2019年からグループ向けのレッドチームを組織し、実戦さながらの攻撃シミュレーションによって改善点を探り出し、さらなるセキュリティ強化を図ってきた。チーム名にある「V」は、Verification(検証)の頭文字だ。
Team Vの主要メンバーは現在4名。さらに様々な尖ったスキルを持った20名ほどの NTTグループ各社のセキュリティスペシャリストも控える。NTTグループのレッドチームは一体どんな活動を行っているのだろうか。
「食らいつくのに必死」 セキュリティの仕事の醍醐味は“感謝”
羽田がTeam Vに参画したのは、1年延期となった東京オリンピックの開催が間近に迫った2021年春のことだった。
東京オリンピック・パラリンピックのサイバーセキュリティを担当したNTT。その大役を果たすための準備がほぼ完了し、次に注力し始めたのがNTTグループ自身のセキュリティのさらなる強化である。羽田は、レッドチームに招集された。
羽田がセキュリティに初めて携わったのは入社3年目の2008年のことだ。脆弱性診断ビジネスを2年間担当した。「提案から診断、報告までを全部1人でやるスタイルで、このときにスキルの基礎を身に付けました」と振り返る。
その次は、SOC(Security Operation Center)運用サービスを担当した。運用プロセスの構築に始まり、サービスの価格表づくりまで、技術とビジネスの両面でSOC運用ビジネスに深く携わるにとどまらず、インシデント対応も数多く経験した。
SOCの主たる業務はサイバー攻撃の検知・分析であるが、「セキュリティという名前が付いている組織ですから、『こんな事件が顧客で起きてしまった』と様々な困りごとが社内から寄せられます」。
当時SOCに持ち込まれたインシデントへの対応業務は、パートナー企業へ外注するケースが多かったという。しかし、羽田の場合は違った。
自分に来た相談は、自分で詳しく話を聞く。そして、インシデントが発生した顧客の元へ自ら赴き、ログ調査から報告書作成までの一次対応を行った。「年間5~10件くらい行いましたから、いろいろなインシデントを経験できました」。このときの経験を活かし、羽田は後に顧客向けインシデント対応チームの立ち上げに携わることになる。
相談に応え続けるため、羽田は週末返上での勉強も厭わなかったという。「どんなインシデントが来ても、『私が一次対応を引き受けます』と言えなくては、『外注すればいい』となってしまいます。食らいつくのに必死でした」。会社の薦めで、情報セキュリティ専門の大学院にも通い、2019年には博士号も取得した。
羽田はセキュリティの仕事の醍醐味の1つとして、「感謝されること」を挙げる。「セキュリティ技術を学ぶことが単純に面白かったのもありますが、自分が技術を深く知れば知るほど、人から感謝されることが多くなりました。それが凄く励みになりました」
思い出深いインシデントの1つには、島根で開催されていた学会の最中に呼び出された。マルウェア解析コンテストに参加し、その後、自身の発表を終えると、直後に「すぐ帰ってきてくれ」との電話を受けた。
翌朝の早朝、東京に戻ってインシデントの詳細を聞くと、偶然、マルウェア解析コンテストの出題と同じような状況が発生していた。「私、解決できます」。即答したときの上司の感嘆した表情を覚えている。
「すぐシンガポールに飛んでくれ」と言われたこともあった。20~30人が集まった混乱する会議室に放り込まれ、翌々日には原因を特定して事態を収拾した。
羽田が挙げるセキュリティの仕事の醍醐味の2つめは、瞬間最大風速の強さである。重大なインシデントが発生すると、現場はまさに巨大な嵐に見舞われたような状況に陥る。そうしたなか、迅速かつ的確な対応が求められるセキュリティのスペシャリストの仕事は「とてもダイナミックです」と羽田は話す。