背景と課題
痛切に感じた「攻撃されること」を前提にした準備の必要性
NTTグループの総合不動産会社であるNTT都市開発は、オフィスビルの開発・賃貸事業にはじまり、商業施設や住宅、ホテルなど幅広い領域で国内はもとより海外においても不動産事業を展開している。
その中で情報セキュリティ推進室は、各種物件の情報はもちろん、それら顧客の個人情報といった情報資産を守り、安定した事業継続を実現するため、「縁の下の力持ち」としてさまざまな対策を実施してきた。
NTT都市開発株式会社 情報システム部 次長 宮城 達也氏(以下宮城氏):「社員の皆さんが安心・安全に業務を遂行し、ひいてはその先にいらっしゃるお客様が安心して私たちの不動産やサービスをご利用いただけるよう、窮屈になりすぎず、守るべきところはしっかり守るべく、バランスを意識しながら対応しています」
これまで、NTTグループの一員として性善説に基づく境界型防御から脱却し、内部不正対策も含めた対応を進めてきた。さらに、ランサムウェアをはじめとするサイバー攻撃に備えて外部脅威への対策も強化し、EDRの導入や運用監視体制の構築といった対策も実施済みだ。
だが、インシデントに遭遇した当事者の生の声を聴く機会があり、もう一段踏み込んだ取り組みの重要性を痛感したという。
取締役 情報システム部長 小林 央氏(以下小林氏):「どんな会社でもランサムウェアの被害に遭う可能性はあることを聞き、『攻撃されること』を前提にした準備の必要性を感じました」と振り返った。
ソリューションの選定
めざすべき目標に向けた説得力あるシナリオを評価
ひとたびインシデントが発生すれば、情報セキュリティ推進室だけでなく、総務人事部や広報室、法務室、さらには現場の各部門も含めた全社的な対応が必要になる。そこでNTT都市開発(以下、UDともいう)ではCSIRTである「UD-CSIRT」を中核にして各部署の役割を整理し、全社で被害最小化に取り組める体制作りに着手する方針を立てた。
宮城氏:「火事が起きたとしてもすぐに消火して被害が広がらない仕組みを整えるため、CSIRTを構築し、会社全体で役割を整理していく必要があると考えました」
ただ、CSIRTを作るにしても、何をどのように進めていくかの具体論になると手がかりがない。独力で進めれば思いも寄らぬ抜け漏れが生じる恐れがある上に、リソースにも限りがある。そこで、セキュリティに関する知見を持つ専門家の手を借りながらCSIRT構築と社内体制整備を進める方が望ましいと判断した。
複数のセキュリティ事業者から受けた提案の中で最もしっくりきたのが、NTTセキュリティ・ジャパンが示したロードマップだった。
小林氏:「CSIRT構築となると、年単位のプロジェクトになります。ゴールや目標、到達地点が見えない抽象的な内容ではなく、非常に腹落ちできる提案でした」
現状を分析して方向性をまとめるフェーズ1、各部と調整しながらプロセスや役割分担を定義するフェーズ2、マニュアルや行動計画書といった具体的なドキュメント類をまとめ、訓練を実施するフェーズ3という段階的なシナリオによって、この先、どのように進めていくべきかが明確にイメージできた。
まず2025年3月から4月にかけて試験的にフェーズ1を実施したが、
同部情報セキュリティ推進室 室長 安達 洋樹氏(以下安達氏):「最終報告会で今の我々の立ち位置とめざすべき姿を示し、将来像に向かって段階的にどのように進めていくかを提案していただきました。この内容を非常に高く評価し、その後のフェーズも継続的に支援をお願いすることにしました」
導入と効果
役割を明確化して規定を整備し、訓練を通して次の改善へ
フェーズ1において方向性を共有したことによって、その後のプロセスも順調に進めることができた。
小林氏:
「現状の課題やリスクを洗い出し、どのようなCSIRTをめざすのかというあるべき姿をまとめ、ロードマップを最初の段階でしっかり検討したことにより、チームビルディングも含めて意識合わせができ、プロジェクトがスムーズに進んでいったと思います」
続くフェーズ2では、各部門を回ってヒアリングを行い、意見交換をしながら役割分担を明確にしていった。
インシデント対応においては、情報セキュリティ部門だけでなく、警察への対応を行う総務担当、対外的な窓口となる広報室、法的リスクを最小化する法務室、システムを運用するシステム部門、顧客への説明に当たる事業部門など全社の連携と協力が欠かせない。本プロジェクトではそのことを丁寧に説明して回っていった。この結果、各部署でも「自分ごと」と捉える意識が高まってきたという。
宮城氏:「インシデントは起こってはならないが、それでも起きた場合には全社で取り組まなければいけないという機運と役割分担の意識が、徐々に醸成されていきました」
NTTセキュリティ・ジャパンが用意した資料を活用し、実例や最新動向を客観的な立場からインプットしてもらうことで、社内の納得も得られやすかった。
こうして意識を共有し、部署ごとの役割分担を明確にした上で、フェーズ3ではインシデント対応マニュアルや、より細かな手順を定めた行動手順書の策定を進めた。以前から存在したサイバーセキュリティ関連規程を補完する形でマニュアルに落とし込み、人事異動などで担当者が変わっても、常に同じように対処できる体制を整えていった。
NTTセキュリティ・ジャパンの支援により「情報漏洩が起きた場合」「システムトラブルが生じた場合」といった具合に、さまざまなパターンに備えて各部署の役割とやるべきことを明示したマニュアルを整えることができた。
最後に、一年あまりのプロジェクトの総仕上げとして、2026年2月に同社としては初となる全社インシデント対応机上訓練を実施した。同社が保有する商業施設システムでインシデントが発生したというリアルなシナリオに基づき、CSIRTを軸にして総務人事部、広報室、法務室、安全統括部、システム部門や事業部・支店・グループ会社といった関係者が参加し、それぞれ何を行い、どのように情報連携すべきかを、策定した行動手順書に基づいて真剣に再確認していった。
.jpg)
一般的には「やらされ感」を抱かれかねないが、NTT都市開発の訓練では実に参加者の93%が「有意義だった」と回答した。
安達氏:「『判断を下すには、もっとこうした連携が必要だ』と積極的な意見が出るなど、当事者意識を醸成するという主目的が達成できました。また、うまくいったという手応えだけでなく、行動手順書の足りない点や修正すべき点など、うまくいかなかった部分も洗い出すことができました」
今後は、その改善に向けたアクションを進めていく計画だ。
NTTセキュリティ・ジャパンがセキュリティ専門家としての立場で客観的なアドバイスを提供し、それをNTT都市開発ならではの社内事情や事業特性に合わせて適合させ、時には意見を戦わせながら伴走することによって体制整備を実現できた。一年あまりのプロジェクトを振り返って、
小林氏:「豊富なノウハウを持つNTTセキュリティ・ジャパンとともに進めることで、CSIRT体制の確立からマニュアル類の整備、初めての訓練から全社の意識向上までを実施でき、100点満点だと評価しています」
と述べている。
今後の展望
より洗練された体制をめざし、グループ全体での連携確立も視野に
2026年4月からはフェーズ4として、一通り整備した体制の高度化をめざしていく。
小林氏:「訓練も継続的に実施し、次に向けた課題を洗い出してどんどんバージョンアップし、より洗練された形にしていきたいと考えています」
よりストーリー性が高く、真に迫った演習も検討したいという。
また、NTTアーバンソリューションズグループ全体としてもインシデント対応体制を整備していく方針だ。
小林氏:「UD-CSIRTを洗練させつつ、グループトータルでのCSIRT体制を確立させていく二本の柱を追求していきます」
個社ごとの事情やフェーズの違いを尊重しながらNTTセキュリティ・ジャパンの知見も生かし、グループ全体をレベルアップさせていく取り組みを進めていく。
※本事例のCSIRT構築支援はNTTセキュリティ・ジャパン株式会社とAIセキュリティ株式会社の2社で実施しました。
※役職・部署名は記事公開当時のものです。