チーム発足から4年。セキュリティ領域の最後の砦としてお客様のシステムを守る若手精鋭の「リスクハンティングチーム」に込めた想い
コロナ禍でリモートワークが増えたことにより、自社のセキュリティに一層の意識を向けた企業も多いのではないだろうか。サイバー攻撃による情報漏洩や基幹システム停止などのニュースを見て危機感を感じた経営層も少なくないはずだ。アフターコロナの今、出社とリモートワークを組み合わせたハイブリッドワークが増え、考慮しなければならないセキュリティリスクが増えたことで、情報システム部としても、どのようにセキュリティを担保していけばいいのか考える必要があるだろう。
日本電気株式会社(以下、NEC)では、コロナ直前の2019年から、「リスクハンティングチーム」を立ち上げ、お客様が円滑にビジネスを展開することへ軸を置いたセキュリティ担保に注力し、活動している。システムインテグレーターとして政府機関や民間企業のシステムを支えてきたNECの強みを活かしながら、適切なセキュリティの設計や課題の解決に日々あたっている。
本ストーリーでは、リスクハンティングチームが現在へ至るまでの軌跡を紹介する。他社ではレッドチームと呼ばれることも多い中、なぜNECではリスクハンティングチームと呼び、精鋭達が集まり活躍しているのか。同チームを立ち上げたNECサイバーセキュリティ戦略統括部 統括部長の淵上真一、現在リーダーとしてチームを牽引している山﨑泉樹、木津由也に話を聞いた。
(左から、山﨑泉樹、淵上真一、木津由也)
コロナ禍以後、ビジネスシーンは三極化。ハイブリッドワークに対応したセキュリティ環境の整備が課題に
コロナ禍以前より、注目を集めていたDX。2020年以降、ビジネスシーンでは一時的にリモートワークがメインとなったが、現在はオフィス回帰の動きも見られる。このアフターコロナの状況で、ビジネス環境やDXへの認識にはどのような変化が見られるのか。
淵上は、2023年5月に新型コロナウイルス感染症が五類になったタイミングから、世の中では三極化が進んでいると見ている。リモートワークメイン型、オフィス回帰推進型、両者を掛け合わせたハイブリッドワーク型だ。また、会社全体ではなく、セグメントによってスタイルを選んでいるところも見られるという。こうした世の中の変化により、顧客ニーズにも変化が見られると淵上は話す。
「リモートワークがメインの頃は、リモートワークを前提として最適化を考えれば良かったのですが、ハイブリッドワークでは、リモートワークの場合と出社する場合のどちらに対しても最適化するために何をどこまでセキュアにすればいいのか、悩まれているお客様が多い印象があります」(淵上)
ハイブリッドワークの登場により、セキュアな環境作りに悩みを抱える企業が出ているように、企業のサイバーセキュリティへの意識は高まっている。特に変化が見られるのが、企業の経営層の意識だ。
「以前は情報システム部門の方から、セキュリティに関するご相談が多かったのですが、最近では経営層の方から直接ご相談いただくことも増えています。お客様が危機感を持って経営課題として考える、サイバーセキュリティへの意識の高まりを感じています。」(淵上)
サイバー攻撃と聞くと、愉快犯による個人に対する無差別な攻撃をイメージする人もいるかもしれない。しかし、現在のサイバー攻撃はビジネス化し、組織化した犯罪者集団の収益手段となってきている。更には攻撃の目的は金銭目的にとどまらず経済安全保障を動機とした攻撃も出てきているという。現在はあらゆるシステム・データが標的となり、企業は事業継続のために投資としてサイバーセキュリティを考える必要があるのだ。
NECは、長年システムインテグレーターとして政府機関や民間企業のシステム構築をしてきた実績がある。近年では、多くの企業とサービス開発を通して、DXの共創にも取り組んでいる。セキュリティは、資産やビジネスを守るための取り組みであり、保有する資産、働き方やシステムの状況など、ビジネスの視点も含めて全体最適化を行っていく必要がある。ただ安全なセキュリティを考えるのではなく、ビジネスの視点を考慮して、効果的かつ現実的な解を出せるのが強みであり、お客様にも求められるところだと淵上は話す。
「セキュリティだけに特化すると、過剰になったり、使っているシステムにフィットしなかったりすることが起こり得ます。ビジネス全体のフローやシステムの構造・仕組みを理解していることで、適切なコストでビジネスへの影響度を考慮した効果的なセキュリティを担保できるのです」(淵上)
数名の精鋭から4年で28名に。若手メインでセキュリティの消防隊として活動
NECのリスクハンティングチームが立ち上がったのは、コロナ直前の2019年。DX時代のサイバーセキュリティの考え方として「ゼロトラストモデル」が注目され、セキュリティのアプローチも変化が求められていた。そのような中で、お客様に安全・安心なシステムを提供しつづけるために、事業部単位で行っている納品前のシステム点検に加えて、セキュリティ専門組織がより高度なセキュリティ検査を全社的にもできるようにすることが目的だった。
立上げ当時は手探りで、社内で尖ったスキルを持っている人を選び、数名規模で始まったチームだった。2015年より社内で実施しているCapture the Flag(以下、CTF)等を通して、社内にいろいろな技術を持っている人がいると見えてきていたこと、そうした技術を持つ人たちがスキルを実践できる場にもなることがリスクハンティングチーム立ち上げの契機にもなっている。
セキュリティスペシャリスト: NECだからできること | NEC
現在の役割は、①脆弱性診断、②ペネトレーションテスト、③インシデントレスポンスの大きく3つだという。
「脆弱性診断は健康診断のようなもの。脆弱性診断と混同されがちなペネトレーションテストは、体力測定のように実際にシステムを攻撃してみて本当に守れるのかを試してみるものです。インシデントレスポンスはランサムウェアに感染してしまったり不正アクセスを受けてしまったりしたときの対応で、事件・事故対応といったイメージになります」(淵上)
リスクハンティングチームのメンバーが総力を挙げて検査を行うことで、多くの人が社会インフラとして利用する機器やシステム、サービスを安全に使えるようセキュリティを担保して提供しているのだ。
3つの重要な役割を担うリスクハンティングチーム。日々の重要な業務である脆弱性診断やペネトレーションテストがある中で、急病や火事のようにいつ起きるか予測がつかないインシデントレスポンスにも取り組むために、緊急事態のインシデント発生時には、最後の砦として対応できるように調整しているという。インシデントが起きている状況はお客様の精神にも負荷を与えるため、お客様とのコミュニケーションもインシデントレスポンスの中でNECが大切にしている部分だ。
「交通事故の場合、目で見て事故原因や箇所を把握できます。しかし、サイバーの場合はそうはいかない。何が起こっているのか即座に判断できないなか、迅速に判断し対応しなければなりません。消防や救急隊員と同じく、タイミングによっては徹夜になることもある。脆弱性診断やペネトレーションテストも緊張感の高い仕事ですが、それらとは違う大変さがインシデントレスポンスにはあると思います」(淵上)
ニュースメディアのトピックスで上がるような国内の大きなインシデントレスポンスに対し、ほぼ裏側に入って対応していると語る淵上。
数名から始まった精鋭チームは、今28名にまで増加した。セキュリティと一言で話しても、様々な手法で侵入などを試みる攻撃者に対抗するためには、多種多様な対応が可能であったり、特定の分野で優れていたりと一流のメンバーが揃ったチームが必要だ。
「得意領域はさまざまで、新しい領域を学びたい人もいるなか、得意とするメンバーが勉強会を開き、スキル向上に努めています。みんなで学ぶことで、上手くモチベーションを維持できるんです」(木津)
NECサイバーセキュリティ戦略統括部 リスクハンティング・アナリシスグループ
ディレクター 木津 由也 (NECセキュリティ兼務)
淵上や木津と同部署でチームリーダーを務める山﨑は、30代前半以下の若いメンバーで構成されていることが特徴だと話す。新卒社員が5割程度、チーム全体で20代が6〜7割を占めており、最新のテクノロジーにも対応できるようなタレントを持ち合わせたメンバーが集まっている。
「ビジネスのなかで確立するセキュリティを」の思いから名づけられたリスクハンティングチーム
一般的にはレッドチームという呼び名が浸透しているところ、あえてリスクハンティングチームという独自の名前を付けた淵上らの立ち上げメンバー。その理由には、設立時の思いが関係している。
前述の通り、セキュリティ分野を強化し、体制を整えていこうという流れのもと、重要な機能を持つチームを社内に作ろうと立ち上がったリスクハンティングチーム。目指したのはビジネスのなかで確立するセキュリティであり、コスト意識が低い、技術偏重のセキュリティではなかった。
「個人的に、レッドチームという既存の名前には、技術セキュリティ至上主義というイメージがありました。技術力さえ高ければいい、それでセキュリティが担保されればいいと。ただ、ビジネスシーンにおいてそれは不可能です。大切なのは、ビジネスシーンで実現可能なセキュリティを担保すること。その姿勢を表す名前を付けたかったのです」(淵上)
ふさわしいネーミングはないかと、チームメンバーに投げかけた淵上。挙がってきたのが、「リスクハンティング」という言葉だった。
NEC サイバーセキュリティ戦略統括部 統括部長 淵上真一
(NECセキュリティ 取締役兼務)
2019年に立ち上げてから数年。あえて独自の名前を付けたことで、顧客への認知を広げるのは「正直、難しいです(笑)」と淵上は語る。しかし、レッドチームを理解している情報システム部の人などからは、名前の違いに興味を持ってもらえる機会も多く、その質問から思想を伝えられる機会も得られているという。
「お客様の目的はシステムを使うことではなく、ビジネスをすること。そう考えると、セキュリティの安全面はもちろん、プライバシーに配慮されているシステムになっているのか、人権配慮面に問題はないかといった面を見ることも大切だと思っています」(淵上)
スピードの速いセキュリティ領域で、最後の砦として機能し続けられるチームに
これからリスクハンティングチームを牽引していくのが、山﨑や木津といった若手リーダーたちだ。前述したように、チームメンバーを見ても若手が多いことが特徴だ。淵上は「変化の激しい世の中に対応していくためにも、若手の新しい考え方を取り入れていきたい」とその理由を明かしてくれた。
木津も「セキュリティは変化の早い領域」だと話す。直近では生成AIなど、新しい技術が日々どんどん生まれ、それだけ課題も出てくる。また、NECならではの課題に山﨑も含めて直面しているという。
「事業部でやっている検査でも安全性を担保できてはいるものの、我々がやれればその精度はさらに増す。前者が人間ドック、後者が精密検査というイメージです。どうにかしてすべてを我々で検査できるようにしたいのですが、弊社からリリースされるシステムは数千数万あり、そのすべてをリスクハンティングチームの28名で検査しきるのは現実的ではありません。新型コロナウイルス感染症がキットで簡単に自己診断できるようになっていったように、今後はツールを使って専門家ではない人でも高度なセキュリティ検査ができるようにするのが夢です」(山﨑)
NEC サイバーセキュリティ戦略統括部 リスクハンティング・アナリシスグループ
リード 山﨑 泉樹(NECセキュリティ兼務)
お客様のビジネス運営とセキュリティに対する専門性・多様性を強く意識し、運営してきたリスクハンティングチーム。若手主体でありながらも多くの実績を上げてきたリスクハンティングチームに今後も注目だ。
<リスクハンティングチームの取り組みと実績>
<関連リンク>
- リスクハンティングサービス: プロフェッショナルサービス | NEC
- NEC、安全なDX推進に向けて、ビジネスリスクを評価し対策を提示する「リスクハンティングサービス」を提供開始 (2020年9月9日): プレスリリース | NEC
行動者ストーリー詳細へ
PR TIMES STORYトップへ
LINE
