第６１０号コラム：「CSIRT業務のリモートワーク化の取り組み」

第６１０号コラム：小山　覚　理事（ＮＴＴコミュニケーションズ（株）情報セキュリティ部　部長）
題：「CSIRT業務のリモートワーク化の取り組み」

私のコラムの締め切りが4月7日に決まったのは数カ月前だった。当時は呑気にも筆が進みやすい旬ネタを探していたが、あれよという間に新型コロナウィルスの影響が世界中で拡散し、急転直下、戦後最悪の危機・不況など最大級の警鐘が打ち鳴らされる事態となった。新型コロナウィルスの犠牲となった方々のご冥福を心からお祈りしたい。

今回のコラムは、新型コロナ対策でCSIRT業務のリモートワーク化を検討している方々に読んでいただきたい。時節柄もあり不謹慎な話題と感じる方々にはあらかじめお詫びを申し上げたい。

折しも安倍首相が緊急事態を宣言し、待ちかねた人々が遅きに失したと非難し、街の変わりように愕然とする人々の様子が報道されている。私は「緊急事態宣言」を予告した政府に呼応して、外出自粛やリモートワークを上手に進めた企業や個人の努力に賞賛を送りたい。日本ならではの取り組みが奏功することを願っている。

私の勤めるNTTコミュニケーションズでは、2月下旬から常時6割程度の社員がリモートワークで仕事をするようになり、オフィスは閑散としていても仕事が回るようになった。その理由は「ゼロトラストセキュリティを導入し、SaaSなどクラウド利用を加速させた結果」と説明することができる。

オンプレミスなIT環境に社外からアクセスする際には、リモートアクセスを行うのが一般的であるが、社外から利用する場合は、社内と同じようにサクサクと仕事ができるとは限らない。思い切って社内ITシステムを、オンプレミス環境からクラウド環境に移行してしまえば、作業する場所に関わらず社内も社外も関係なく、同じ快適さで仕事ができるようになる。パソコン作業において社員のストレスが無くなり、生産性もトータルで向上していくが残る課題は「セキュリティ」である。

そこで登場するのが「ゼロトラストセキュリティ」である。ゼロトラストはパソコン等の「エンドポイント」のセキュリティと、CASB等の「クラウドセキュリティ」と、AzureAD等による「認証・認可」が三位一体となって実現する。本当に信じて大丈夫かと思いたくなるような、やわらかい概念の相乗効果が「ゼロトラスト」の実態である。ゼロトラストセキュリィは、「攻撃をファイヤーウォールで防御！」などの対症療法的な対策とは異なるため、境界防御の概念に慣れてきた企業のセキュリティ担当者やCISOには、とっつきにくい概念かもしれない。

さて、閑話休題、私の職場は情報セキュリティ部（CSIRT）である。
そしていまCSIRTのブースには誰もいない。普段は社内にマルウェアが侵入すると、マルウェアの影響範囲の特定、封じ込めや再発防止策などを行っているが、新型コロナ対策が始まる前から東京2020オリンピックパラリンピックに備えて、出社困難になった場合でも、CSIRT業務が継続できる環境づくりに取り組んできた。

その取り組みを後押ししたのがゼロトラストセキュリティだった。
その努力の甲斐あって、現在では物理的な機器交換以外の作業は全て自宅から行えるようになっている。どのような取り組みを行ったかご紹介したい。

最初にCSIRT業務をリモートでやろうとしたが、現場から様々な課題が出てきた。そもそもセキュリティのアラートを自宅で見て良いのか？など、安全サイドに議論を倒すと「NO！」と言わざるを得ない課題はいくつもあった。いざオペレーション業務をリモートから行おうとすると技術的な課題だけではなく、社内のルールや、心理的障壁など、乗り越えるべき課題がいくつもあり、どうやら机上検討では前向きな答えを出すことは難しいことが分かった。

そこでやや乱暴ではあるが、トライアルを行い現実的な解を探ることにして、2019年7月の「リモートワークディズ」期間中の1週間、CSIRTメンバ全員が在宅勤務にトライしてみた。

その結果は良好であった。

自宅からでもインシデント対応が可能か、情報共有やチケット管理のシステムが想定通り利用できるか、その安全性や操作性、実際の業務の生産性などを検証したが、致命的な問題は見つからなかった。SaaSやクラウド環境に適したゼロトラストセキュリティを導入するだけで多くの問題は消えていた。

そこで、次のステップとしてラグビーＷ杯の期間中に再度全員リモートワークを実施し、更に業務のブラッシュアップを行い、この2月から完全リモートでCSIRT業務を開始したところである。

そしていま、どのようにインシデント対応を行っているかについて、２つの事例を紹介したい。

１つ目は、情報漏洩等のインシデント対応である。

インシデント対応では、最悪の場合は報道発表し謝罪会見まで行う必要があり、漏洩した当事者以外に広報・法務など多岐にわたる部門が参画する。従来は会議室を長期間予約して関係者が一堂に会して、何度も会議を行うことが通例となっていた。夜遅くまで開催することもあり、生産性向上が難しい業務の一つであった。

いまリモートワークで行うインシデント対応はO365のTeamsを活用している。

Web会議は他の業務中でも聞き流しながら参加できる気軽さがあり、多くの関係者の参加が期待できる。誰かが話している裏番組で、チャットを使って質問や議論を進めることもできる。会議室を確保する必要もない。多岐にわたる関係者が複数ロケーションに分散している場合は必須のアイテムと言える。新型コロナが収束してもリモートでのWeb会議は新しい働き方として定着し、継続していくと思われる。

2つ目は、マルウェア感染のインシデント対応である。

遠方のロケーションで発生した場合、パソコンの抜線指示に始まり、影響範囲を特定するためのフォレンジックの段取りなど、メールや電話で指示しても埒があかない場合は、社員が新幹線や飛行機に飛び乗って現地に向かうこともあった。ところが、現在ではパソコンにEDRと呼ばれるセキュリティソフトを導入しているため、マルウェアに感染したパソコンの抜線なども遠方の社員に作業を頼む必要がなくなった。

EDRの管理画面を操作することで、リモートからパソコンを操作して外部との通信を遮断し、侵入したマルウェアを特定し対策を行うことができる。

同じマルウェアが侵入している他のパソコンを調査し、瞬時に封じ込めを行うこともできる。EDRの管理画面にアクセスさえできれば、自宅であろうと場所は選ばない。まさにリモートワークに最適なソリューションである。

振り返ってみると、CSIRT業務のリモートワーク化は、インシデント対応や、EDR等の管理画面の操作を、SaaS等のクラウド環境を利用して行うことで、技術的には何ら問題なく取り組むことができている。むしろCSIRT業務をリモートから行うという決断をして行動に移すことが一番大事なことと思える。

その一方で、オンプレミス環境に構築した社内ITシステムは老朽化し、2025年の崖が顕在化すると言われている。多くの企業の課題はオンプレミスに残されたままである。不謹慎な表現かもしれないが、新型コロナが期せずして日本のIT環境をクラウドに推し進めはじめた今こそ、新たなチャレンジを始める良い機会である。

現段階では、在宅でリモートワークが可能な関係者は少数かもしれない。新型コロナウィルスとの長期戦を乗り切った後には、日本のICT環境が変貌を遂げ、CSIRT業務が高度化・効率化されることを願っている。そのための努力は惜しまないつもりである。

【著作権は、小山氏に属します】