<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTT東日本グループの“セキュリティ検査官”の22年「本当は取材を受けたくなかった」

提供◎日本電信電話株式会社

  •

    ページタイトルとURLがコピーされました

集まったメンバーが、それまで所属していた部署は実に様々。セキュリティに詳しいメンバーもいれば、大湊のようにセキュリティ業務に携わるのは初めてのメンバーも数多くいた。

そんなごった煮のようなチームで、すべてをゼロから立ち上げていかなければならない。直営マインドの大湊にとっては理想の職場だった。
「立ち上げ屋」として尽力2000年というと、インターネットの勃興期だ。「NTT東日本社内にも、インターネットにどんどん親しんでいこうという空気がありました」と大湊は振り返る。インターネットへの期待があふれ、様々なチャレンジが始まっていた。

一方、課題もあった。セキュリティに関して、現在と比べると相当に牧歌的だったことだ。いろいろな部署がインターネットにつながるサーバーを自分で立てていたが、セキュリティのことをあまり考慮せずにサーバーを立てているケースも少なくなかった。「Telnetのポートが普通に開いていて、外部から簡単に接続できるサーバーもたくさん見つかりました」という。

幸いインシデントにはつながっていなかったが、組織的にセキュリティ被害を未然に防止する仕組みを整備しなければ、いずれ大事故につながりかねない。

「当時のメンバー全員で端から全部、1つ1つ順番に取り組んでいきました」。立ち上がったばかりのセキュリティ専門チームは、すぐさま山積する問題に取り組み始めた。大湊自身が担当したのは、例えばインターネットに接続されたシステムの各種セキュリティ調査や、その検査・監査のための基準策定などだ。

NTT東日本での組織的なセキュリティ運用が軌道に乗り始めて数年後の2008年、大湊はNTT持株配下のCSIRT、NTT-CERTへ異動した。

2004年設立のNTT-CERTは、日本のCSIRTの草分け的存在の1つ。NTTグループ全体を支援する役割を担っている。大湊はNTT-CERTにおいて、グループ各社のインシデント対応の支援体制の立ち上げ、セキュリティ製品評価の立ち上げ、NTTグループ内への緊急性の高い脆弱性情報の配信業務の立ち上げなどに尽力した。

自分を一言で表してほしいとの問いに対し、大湊は「セキュリティのジェネラリスト」と答える。「その都度、その時代に求められるセキュリティに携わってきました」

セキュリティを守るための様々な仕組みや基準などを、大湊は自らの手で作ってきた。その結果として、幅広いセキュリティ業務に通じるジェネラリストになっていた。

NTT-ME 大湊健一郎

1つ1つ丁寧に多岐にわたるセキュリティ業務に関わってきた大湊だが、2000年にNTT東日本のセキュリティ組織に参加して以来、そのキャリアの大きな軸となってきたのは、脆弱性などを調査・診断するセキュリティ検査である。

2014年、大湊はNTT-CERTから古巣のNTT東日本へ戻り、インターネットに接続されたWebサイトや業務用システムのセキュリティ検査の主管を担当した。セキュリティ検査業務全体のガバナンス、そして検査で発見された脆弱性等の問題に対して、適切なアクションをとっていくことが主管の役割である。

また、新たな情報システムの開発前に、セキュリティの確保のための制御や機能等が事前に計画されているかチェックを行う業務も大湊の管理領域だった。

この時期、大湊が立ち上げたことの1つに経営会議へのセキュリティ検査結果の報告業務がある。検査で見つかった脆弱性などについて経営陣へ報告するわけだが、事業への影響度や攻撃の容易性をマトリックス化して報告する点が特徴だ。

経営陣が判断しやすいように、例えば、個人情報漏えいにつながり得る脆弱性を「高リスク」や「中リスク」に分類。中リスク以上であれば「すぐ対処しよう」、低リスクであれば「計画的に対処してこう」とし、是正措置の徹底を推し進めた。

大湊は「1つ1つ」というフレーズをよく使う。地道に1つ1つ対処していくのが大湊の流儀だ。ただ、大切なポイントは、その1つ1つとはきちんと優先順位付けがなされた1つ1つだということだ。「全部一律に『いつまでに直せ』みたいなのは違うと思っています」。そして、優先順位が高くない課題にも1つ1つ丁寧に対応していく。

大湊によると、低リスクと分類した脆弱性に対しては、実際に修正作業を行うシステム主管部門の担当者から、こんなふうに対応されることもあるという。「低リスクだから対処しなくてもいいでしょ」

そんなときも、根気よく対処の必要性を説明していくのが大湊だ。

「未然防止力」をもっと広く社会に2020年に大湊はNTT-MEのサイバーセキュリティセンタに異動し、検査・監査の実行部隊のリーダーへと役割を変えた。

2014年に大湊がNTT東日本グループへ戻ったとき嬉しかったのは、2000年から大湊たちがゼロから作ってきた仕組みの多くが残っていたことだった。

大湊がセキュリティに携わり出してから22年、NTT東日本グループでは重大なセキュリティインシデントは起きていない。多くの仲間とともに、セキュリティ被害の未然防止に貢献することができたとの思いがある。

今、大湊が力を入れていることの1つは、セキュリティ検査をはじめとする、NTT東日本グループの「未然防止力」をより広く提供していくことだ。NTT東日本グループの顧客向けセキュリティサービスに関するミッションも、大湊は担い始めている。

NTT-ME 大湊健一郎

「将来、お前が後輩にやってあげろよ」。大湊はこれまで数多くの先輩に助けられてきたというが、感謝の気持ちを伝えると、ほぼ必ずこんな言葉が返ってきた。

「本当は取材を受けたくなかった」。今回の取材を引き受けたのも、後輩からの頼みだったからであり、後輩たちに何かを残すことができるかもしれないと考えたからだ。

セキュリティの現場では日々、新しい脅威が生まれており、前例のない新しい課題にも挑む必要がある。大湊は直営マインドで新たな課題に立ち向かってきた。

セキュリティに終着駅はないが、終着駅を目指して線路を作り続けなければ、途端に大きな被害にのみ込まれかねない。線路屋としてキャリアをスタートした大湊は、今も線路を作り続けている。

  •

    ページタイトルとURLがコピーされました

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
WhitePaper
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。

当ウェブサイトはCookieを使用しています。閲覧を続ける場合、プライバシポリシーに同意したことになります。
許可