BIGLOBEの「はたらく人」と「トガッた技術」

サイバー攻撃の脅威からBIGLOBEを守り続ける~セキュリティ担当の仕事とは

こんにちは。BIGLOBE Style編集部です。
今回は、昨今のサイバーセキュリティのトレンドや対策について、BIGLOBEの守護神・古賀に語ってもらいました。情報通信分野のセキュリティに関する業界団体であるICT-ISACや、情報処理推進機構(IPA)などの社外活動についても語っていますので、是非ご覧ください。

____________

 

こんにちは。BIGLOBEのセキュリティ担当、こがです(守護神は言いすぎです…汗)。

今般のコロナ禍で自宅にいる時間が増えたのを機に、巷で爆発的人気の「あつ森*1をはじめてみました。外でセミの声を聞くと、以前は気にもとめていなかったのが、ついついどこにいるのか目で探しています。こういう些細な事からリアルとバーチャルの境界が曖昧になっていくのですね。

*1 任天堂の人気ゲーム「あつまれ どうぶつの森」のこと。プレーヤーは無人島に移住して、虫を捕ったり、魚を釣ったり、貝を拾ったりしながら日々の生活を送っていく。

 

古賀洋一郎
情報セキュリティ統制部
こが よういちろう

 

 

最近のサイバー攻撃による脅威の状況

世の中で大きな変化やイベントがあるときは、攻撃者にとってはビッグチャンスです。

今般の新型コロナウイルス感染症の感染拡大では、短期間に大きな環境の変化が起こっています。攻撃者はそういう変化を捉えて、人々の不安な気持ちに乗じたり、行政等の緊急対策を騙ったりしてフィッシング詐欺を仕掛けてきます。

BIGLOBEでも、新型コロナウイルスについてのニュースが流れ始めた2月以降、BIGLOBEを騙るフィッシングを複数確認しており、その都度BIGLOBEのポータルサイトや公式SNS*2で注意喚起を呼びかけるとともに、JPCERT/CC*3にフィッシングサイトの閉鎖を依頼して、会員の皆さまが被害にあわないよう対応しています。

この原稿を書いているまさに今も、BIGLOBEのキャンペーンを詐称してクレジットカード情報を窃取しようとするフィッシングが発生したので、これに対応しているところです(図1~2参照)。

フィッシングを確認した際に公式SNSで注意喚起を呼びかけているのは、フィッシングかどうか不安を感じているお客さまにとって、発生しているフィッシングに関する情報を検索で見つけやすくし、さらにリツイートにより広く拡散されることを期待して行っており、より多くの人の目に触れるようになることで、お客さまが被害にあうのを防いでもらうことを狙っています。

*2 TwitterFacebookで注意喚起を掲載。BIGLOBE会員でなくても楽しいつぶやきが日々なされているので、今すぐフォローするのがおすすめです。(宣伝)
*3 JPCERTコーディネーションセンターの通称。国内で発生したセキュリティインシデントについて相談に乗ってくれる心強い存在。JPCERT/CCの中の人も「じぇいぴーさーと」と呼ぶことが多いが、書くときは「JPCERT」ではなく「JPCERT/CC」と書かなければならないことに注意が必要。

 

図1 今まさに対応中のフィッシングサイト画面

 

図2 BIGLOBE公式Twitterでの注意喚起(8/17 16時時点のスクショ)

 

今回のフィッシングについては、他のISPの多くでも同様にキャンペーンを詐称されている模様です。今これを読まれている皆さんは、このような虫のいい話には引っかからないよう、くれぐれも注意してください(メールやSMSなどのプッシュ型でパスワードやクレジットカード情報を入力させるように促される場合、フィッシング詐欺を疑ったほうが安全です)。

また、今般のコロナ禍において、出社による感染を予防するために、多くの企業や組織ではテレワークに短期間でシフトしていきましたが、攻撃者から見ると、急ごしらえのシステムはセキュリティ上の不備があることが期待でき、とても好都合です。

実際にあった他社の事例では、緊急事態宣言の期間中にテレワークで使用している自宅のPCが攻撃者に乗っ取られて、そこを足がかりとして社内ネットワークに侵入され、秘密情報を盗まれた、というような被害が発生し、ニュースとして大きく報道されました。

BIGLOBEでも2020年8月現在、在宅勤務でのテレワークが基本となっていますので、このようなニュースは他人事ではありません。他社で起こったサイバー攻撃は、「明日は我が身」という意識を持って、自分たちの現状の対策について確認・見直しをする機会と捉えるようにしています。

 

BIGLOBEのセキュリティ担当のお仕事

  私の所属する情報セキュリティ統制部は、当社の情報セキュリティ全般を統括して、会社として情報セキュリティ事故を起こさないよう、対策を計画・実行するのが役割です。対象範囲は、BIGLOBEのサービスシステムに加え、社内のIT環境、さらに日常のオフィス生活において情報セキュリティ上注意すべきことも含みます。

ここ最近では、在宅勤務でテレワーク、という業務スタイルが基本となっていますので、テレワークを前提とした働き方に関するセキュリティルールを改めて整備しました。

また、万が一セキュリティインシデントが発生した場合の有事対応のとりまとめや、平時においては「インシデントは発生するもの」という前提に立って、情報収集、インシデント対応のためのツール整備、インシデント対応手順の策定といった、いわゆるCSIRT*4活動も私たちの担当です。

前述のフィッシング詐欺は、発生を防ぐことはできませんが、お客さまサポート部門や公式SNSの担当部門等との連携を含む対応手順を整備し、お客さまが被害にあわないよう、早く気づいて注意喚起を行い、フィッシングサイトを閉鎖に追い込むようにしています(他にも、当社と取引のあるセキュリティベンダーに情報提供して、製品やサービスでアクセスをブロックしてもらうよう連絡体制を整備しています)。

*4 Computer Security Incident Response Teamの略。セキュリティインシデントが発生した際に事故対応を行う役割を持つ社内組織。困っている現場部門を救う、正義の味方です(キリッ!)。

 

セキュリティ担当の一日のはじまりは情報収集から

BIGLOBEのセキュリティ担当の一日は情報収集から始まります*5

サイバー攻撃の手口は年々巧妙になっており、被害はますます深刻なものとなっています。防御する側としては、攻撃の手口を知り、攻撃者に付け入られるようなスキを見せないようにすることがセキュリティ対策として必要で、そのためには鮮度のよい情報が私たちの強力な武器となります。

情報収集の具体的な方法は、ネット上の情報サイトを巡回ルートを決めて回り、アップデート情報をクイックに斜め読みしていくのが基本です。これを毎日のルーティーンにすることで、世の中におけるサイバー攻撃の発生状況や脆弱性に関する情報のような直接セキュリティに関わる事柄にタイムリーに気づけるようになるだけでなく、将来の脅威につながるかもしれない様々な情勢・動向の変化に敏感になり、今後の動向を想像するのにも大いに役立ちます。

また、各部門の担当者が、セキュリティ意識の高い取引先やお客さまに対して情報面で後れることがないよう、日々収集した情報から厳選したものを毎日10~20件程度の記事に整理し、「セキュリティニュース」として全社員に対してプッシュ配信しています(図3参照)。

*5 実際には一日中情報収集しています。

 

図3 セキュリティニュースの例(実際には各記事に概要説明がつきます) 

 

少し話がそれますが、社会的に影響が大きかった情報セキュリティ上の脅威について、情報処理推進機構(IPA)では毎年「情報セキュリティ10大脅威」として発表しています(図4参照)。選考は情報セキュリティ分野の研究者、企業の実務担当者で構成される「10大脅威選考会」が行っており、私はそのメンバーとして参加させていただいています。脅威の選考にあたっては、日々行っている情報収集から導かれた推測や洞察を活用して、投票及びコメントの提出、解説文のレビュー等を行っています。

この「10大脅威」は、今何が危ないのかを手っ取り早く知ることができる読み物としてコンパクトにまとまっていますので、日常でのネット利用、あるいは会社等でのセキュリティ対策の参考にしてみてください。

図4 「情報セキュリティ10大脅威2020」表紙と裏表紙*6(出典:情報処理推進機構)

*6 表紙と裏表紙と副題は、対象となった年の世情を踏まえたイラストにしているそうです(なので、2019年のラグビーW杯っぽいイラストが使われています)。

 

通信事業者同士の連携も大切

インターネットという生活に欠かせない社会インフラを安全な状態で運営していくためには、一社だけではできないことが多々あるため、通信事業者間で情報共有等の連携を密にする必要があります。

BIGLOBEは、情報通信分野のセキュリティに関する業界団体であるICT-ISACに会員企業として参加し、他の通信事業者と連携しながら活動を行っています。

「ISAC」とはInformation Sharing and Analysis Centerの略で、ネーミングに含まれるくらい情報共有することが重視されています。企業や組織で実際に経験したり観測されたりしたサイバー攻撃等の情報や、実施している対策の情報は、普通であればなかなか出てくるものではありません。しかし、ICT-ISACでは、安心・安全のインターネットを実現するという共通の目標のために、参加している会員企業の皆さんは使命感をもって、積極的に情報を開示・共有しています(皆さん本当に意識が高くてびっくりします)。

とはいえ、かなりきわどい情報を開示・共有するには信頼関係が大切です。そのためには「顔が見える」関係になることも必要です。ワーキンググループ等でしっかり活動したり情報を共有することはもちろんのこと、たびたび設定される懇親会も、ミーティングから離れての雑多な情報共有のための重要な場になっています。私自身は可能な限り参加するようにしています。

このコロナ禍で、各種ミーティングはオンラインになってしまい、残念ながら直接顔を合わせる機会はぐっと減ってしまいましたが、懇親会についてはオンライン飲み会がこれまでに2回開催されています(2回とも参加しました)。環境の変化に対応すべく、皆さんで協力して試行錯誤をしながら、「顔が見える」場を維持・継続しようとしている一つの事例です。

こうした社外での活動を通じて知り合った他社のセキュリティ担当者からは大いに刺激を受けていますし、各社の取り組みについての話は非常に参考になります。ICT-ISACの場を離れた実際の業務においても、お互いに相談することがたびたびあります(直電やFacebookのメッセンジャーで連絡が来ることもあります)。

このように通信事業者は相互に連携しながら、一社だけでは解決できない課題に対応して、インターネットの安心・安全を守っているのです。

 

BIGLOBEの中でセキュリティのお仕事をするということ

今回、BIGLOBEにおけるセキュリティのお仕事について、一部ではありますがご紹介しました。執筆するにあたり、何か参考にならないかと「セキュリティ お仕事」で検索してみたのですが、「きつい」「やめとけ」「つらい」という文字が関連するキーワードに並んでいました(図5参照)。世の中ではこんな感じなのでしょうか?

 

©2018 Google LLC
※ GoogleおよびGoogleロゴはGoogle LLCの商標です。

図5 「セキュリティ お仕事」に関する検索キーワード

 

もちろん、BIGLOBEではそんなことはありません(笑)。実際に動いているお客さま向けのサービスや、自分たちの仲間が利用するシステムを安全にするというお仕事は、正義の味方チックで、それだけでもやりがいがあるものです。

また、攻撃者の手口を理解しようとしたり、BIGLOBEの環境に当てはめて想像してみることは、新たな驚きや発見も多く、そして攻撃への対抗策を考えることは、金銭面・技術面・法律面などの様々な制約事項がある中で時に途方に暮れることもありますが、パズルを解くような面白さもあり、ワクワク感があります(中の人がセキュリティ担当をする意義がここにあると思っています)。

さらに、業界団体等の社外の活動に参加することもでき、外部からの刺激を受けて新しいものの見方を得て、知見や視野が広がることも期待できます。活動を通じてインターネット社会の安心・安全に貢献することもできるというのも、他では得難い経験なのではないかと思います。

セキュリティのお仕事というと、セキュリティ専業の会社に入って、地球防衛軍みたいなカッコいいオペレータールームで、顧客企業や組織に設置したセキュリティ機器の監視やインシデント対応のサポートをするイメージがあるかもしれませんが、この記事を読んで、BIGLOBEという通信事業者の現場でのセキュリティのお仕事について知っていただき、少しでも興味を持ってくれる人がいれば幸いです。


※記載されている商品名は各社の登録商標または商標です。

 

今回ご紹介しました部門では一緒に働く仲間を募集しています。ご興味のある方はこちらの採用情報をご覧ください。(2022年2月追記:本募集は終了しました。)

hrmos.co