NTTセキュリティ・ジャパンの情報セキュリティマネジメントについて

12/16（木）は、Regional CISO 大竹英次の記事です。NTTセキュリティ・ジャパンの情報セキュリティマネジメントについて紹介します。

---

Regional CISOとは、2016年NTT Security設立時から使われている名称です。会社全体の情報セキュリティに責任を持つCISO（Global CISO）に対し、Regional CISOは各地域（APAC, EMEA, JAPAN, US）の情報セキュリティに責任を持ちます。2019年以降は、グローバル事業会社であるNTT Ltd.のセキュリティガバナンス下で、NTTセキュリティ・ジャパンにおける情報セキュリティマネジメントを構築、推進することを職務としております。

情報セキュリティマネジメントを推進する上で、私たちの最も大切なミッションは、お客さまの大切な情報を守り、安心してご利用いただけるサービスを提供し、お客さまのセキュリティ向上に貢献することです。ミッション達成の為に、まず私たち自身の情報セキュリティレベルを上げる必要があるため、私たちはセキュリティをサービス提供上の最重点事項と位置づけ、お客さまにとって最良のセキュリティを実現するために、サービス開発から構築及び運用に至る全てのバリューチェーンにおいて、セキュリティの確保に最大限努力しております。

本日は、弊社の情報セキュリティマネジメントの主要な業務である、ISMS運用とCSIRT運営についてご紹介します。

ISMS運用

弊社はISO27001認証を取得しておりますが、私はRegional CISOとして規格の要求事項に基づく情報セキュリティマネジメントシステム（ISMS）の確立、実施、維持、継続的改善に取り組んでおります。ISMSの運用においては組織にリスクマネジメントプロセスを適用し、リスクを適切に管理することが求められるため、リスクマネジメントそのものがRegional CISOの業務と言えます。リスクマネジメントプロセスにおける情報セキュリティリスクアセスメントの実施タイミングは様々にて、実施トリガもRegional CISO主動で実施する場合やビジネスオーナーもしくはシステム管理者が主体的に実施する場合など多岐にわたります。また特定されたリスクはリスク優先度に基づき、組織的・技術的・物理的・人的な観点で管理策、改善策を特定し、情報セキュリティリスク対応に取り組みます。

リスクマネジメントの一例をご紹介します。昨年のCOVID-19における緊急事態宣言以降、弊社は従業員の健康と事業継続の観点からリモートワークを導入しておりますが、実施にあたり全社で情報セキュリティリスクアセスメント及び情報セキュリティリスク対応を実施しました。オフィス勤務からリモートワークへの変化により想定されるセキュリティリスクを社内関係者ならびにステークホルダーとも協力しながら洗い出し、様々なセキュリティ対策（リモートワーク規程の整備、認証強化/アクセス制限、アクセス状況のモニタリング 等）を実装し、リモートワーク環境下においてもコロナ禍以前と同様の安全な環境を実現することが出来ました。

情報セキュリティリスク対応に取り組むにあたり、私たち自身も自社のMSS（マネージドセキュリティサービス）を活用しており、顧客の立場としてMSSのセキュリティオペレーションとログ分析のサービスを受けております。Reginal CISOとして、自社MSSに対して求めるサービスレベルは非常にシビアであるため、サービス主管組織やオペレーションチームにはかなりの負担と思いますが、お客様目線での気づきや改善点などを関係者にフィードバックすることにより今後のサービスレベル向上にも寄与出来ていると考えています。

リスクマネジメントを推進する上で、人的要因のリスクへの対応はとりわけ重要な課題と感じております。弊社では人的リスク低減に向けた取り組みとして、社内ルールの浸透やセキュリティリスクへの注意喚起を目的としたセキュリティ啓発コンテンツを始め、NTTグループ全社員を対象とした研修コンテンツやステークホルダーから提供される研修コンテンツの受講、標的型攻撃メール訓練やセキュリティ注意喚起など、様々なセキュリティ啓発のためのトレーニングを実施しています。特にNTTセキュリティ・ジャパンに新たに着任する従業員については、社内プロセスや習慣に慣れていく途上において、ルール逸脱やミスをする傾向が高いことから、セキュリティ啓発トレーニングの効果を高めるため対面での研修を実施し、人的リスクの低減に努めております。

上述のリスクマネジメントプロセスやセキュリティ対策含め、ISO27001規格や社内規定への適合状況とISMSが有効に運用されているかを評価するために、NTTセキュリティ・ジャパンの全組織を対象に定期的な内部監査を実施しております。監査で指摘された不適合や観察事項は速やかに是正処置を行い、継続的な改善に努めております。

CSIRT運営

セキュリティインシデントを発生させないことが理想ですが、現実的には“インシデントが起きる”ことを前提に、有事への対応の準備をしておく必要があります。そのためにNTTセキュリティ・ジャパンにおいてはCSIRTと呼ばれるインシデント対応組織を整備しております。

CSIRTのミッションは、文字通りインシデントレスポンスですが、事後的な対応だけでなく、セキュリティ警戒情報や注意喚起の配信、脆弱性対応サポートなど、インシデント防止や被害低減のための活動も実施しております。

CSIRTのメンバは、Regional CISOである私だけでなく、システム管理者（社内OA、サービスプラットフォーム）やSOCアナリスト、SOCオペレーションチームやサービス開発チームからの人材で構成されています。CSIRTの活動において、現場とスムーズに連携し、現場の意見も取り入れながら適切な判断を行うことができるよう多様なメンバ構成にしたことがCSIRT構築時に工夫したポイントです。メンバは全員CSIRT以外の業務も持っているため、CSIRT活動の時間は限られますが、そのためにもメンバ間での効率的なコミュニケーションを心がけ、メンバ間の連携を維持しております。

情報セキュリティインシデント（ヒヤリハット含む）はCSIRTにエスカレーションするのが社内ルールです。CSIRTでエスカレーションの受け付け後、重要度や緊急度を判断し、対応メンバーのアサインおよび関係する社内の組織を特定し、連携しながらインシデントの解決と復旧にあたります。NTTグループ会社が関連する場合はNTTグループ会社間の連携も行います。コロナ禍の状況においては、これらの実施手順は全てリモート対応が前提です。対面でのハンドリングと比べると情報共有やコミュニケーションのやりづらさはどうしてもありますが、その点はインシデント対応演習等を通じて訓練し、経験値を上げることでスムーズなリモートハンドリングができるよう改善を行っております。このような訓練も有事への備えとして重要な取り組みとなります。

インシデントの内容は様々ですが、CSIRTでは内容の深刻度によらず、原因の究明と再発防止の徹底に努めております。一般的に1つの重大な事故の背後には29件の軽微な事故、さらに300件のヒヤリハットが発生している（ハインリッヒの法則）と言われますが、確かに日々の生活において小さなミスを放置した結果、後により大きなミスにつながってしまう事例をよく耳にします。弊社では、軽微な事象でも背後にある原因を究明し再発防止を行うことが、インシデントを防止するという目的を達成する上で非常に重要な取り組みと考えており、ヒヤリハットの低減も弊社の重要な情報セキュリティ指標の１つと捉えています。そのためにも、ヒヤリハットの発生状況をしっかり把握することは重要であり、エスカレーションされることが必要です。基本的なことですが、インシデントやヒヤリハットの発生を咎める態度では、従業員がエスカレーションすることに委縮してしまい、隠蔽してしまうことにつながりかねません。悪い報告こそ歓迎する姿勢を心掛けるようにしております。

さいごに

弊社の情報セキュリティマネジメントの一部ではございますが、取り組みについて紹介させていただきました。これらの取り組みを通じ、セキュリティの確保に最大限努力しておりますが、現状に満足することなく、日進月歩で出現する新たな脅威や情報セキュリティリスクに柔軟に対処していくことが必要と考えております。今後も信頼されるマネージドセキュリティサービス事業者として、情報セキュリティマネジメントの継続的改善を行い、安心安全なセキュリティサービスを提供できるよう努めて参ります。