NTTコミュニケーションズが3年越しで、セキュリティー対策の強化を進めている。きっかけとなったのは、2019年から2020年にかけてのサイバー攻撃被害だ。力を注ぐのは、不正侵入した攻撃者の「横の動き」を封じる対策だ。
「(社内システムに)脆弱性が見つかった際はセキュリティー更新プログラム(パッチ)を当てるのが先決だが、同時に『既に不正侵入されている』との前提に立って対策に臨む必要がある」。高度化する一方であるサイバー攻撃への対応のあり方について、NTTコミュニケーションズ情報セキュリティ部の小山覚部長はこう話す。
同社では2020年5月に、2つの経路から社内ネットワークに侵入され、情報などが盗み出されたことが判明した。それを教訓に強化し始めたセキュリティー対策で目を引くのは、役割の異なる複数のセキュリティー製品を導入することで、サイバー攻撃者に対する監視の網を広げている点だ。
まずサイバー攻撃が判明した直後から2021年7月までに、EDR(エンドポイントでの検知・対応)を国内・海外の全拠点に展開した。EDRは、端末の挙動に関するログを収集して分析することで不審な振る舞いを見つけ出し、サイバー攻撃を検知するソフトウエアだ。不審な通信や動作を見つけた際にはそれを遮断するとともに、被害の範囲を調査する機能も備える。
EDRはパソコンを守るイメージが強いが、NTTコムは重要システムへの攻撃も漏れなく検知できるよう、社内の全てのサーバーにEDRを導入した。同社はパソコンには、2018年ごろから米マイクロソフトのEDRである「Microsoft Defender for Endpoint(旧Windows Defender ATP)」を順次導入していた。サイバー攻撃が発覚した直後の2020年夏から2021年7月にかけては、Linux向けのEDRを別途採用するなどしながら、EDRの導入対象をサーバーにも広げた。
次いで2021年3月までにNDR(ネットワークでの検知・対応)と、強力なUEBA(ユーザーなどの振る舞い分析)機能を備えるSIEM(セキュリティー情報イベント管理)を導入した。
NDRはネットワークトラフィックを監視することで、異常な通信を検知するソフトだ。異常な通信とは例えば「社内ネットワークに侵入したマルウエアから外部へのビーコン通信」「ランサムウエアがファイルを暗号化する際のファイルサーバーに対する異常な数のトラフィック」などだ。
