#PR

「サイバーセキュリティ戦記」はこうして生まれた

本書は二部構成になっており、前半がNTTグループのサイバーセキュリティにおける取り組みについて、後半が同グループで活躍する10名のセキュリティ研究者達へのインタビューとなっている。
サイバーセキュリティという安全対策の性質上、手の内を公開することは攻撃者に対しても情報を与えることにもなる。
それでも自社の取り組みを共有知とすることで、社会全体でより高いセキュリティを実現できるという英断の元に、書籍としてまとめられている。

前半ではNTTグループにおけるコロナ禍を契機としたセキュリティ対策の変遷において、ルール策定、組織づくり、不具合の発見、人材育成など多方面に亘って惜しげもなく公開されている。

後半のインタビューでは、最前線で活躍するセキュリティ研究者やエンジニア達の素顔が垣間見える。
NTTグループという電電公社時代を含めて71年という長い歴史があり、グループ全体で約33万人の従業員を擁する巨大な組織では、どうしても個人が埋もれてしまう印象がある。
しかし、本書は現場で活躍する方々の声を聞けるのは貴重な場でもあり、このようなイメージの払拭にもつながるだろう。

・どんな人に読んで欲しい？

企業のCISO（最高情報セキュリティ責任者）のみならず、情報システムに関わる方にとって、これ以上にない教材となるだろう。
組織全体のセキュリティ対策を策定する場目に必要な内容が満遍なく解説されており、業界トップランナーによる取り組みから学べる点は非常に大きい。

また、サイバーセキュリティに関心のあるエンジニアや学生などにとっては、実際にどうような事を学び、実践することで活躍できるのかをイメージできるだろう。
セキュリティは後手に回ったり、成果が見えにくい面はあれど、サイバー攻撃が日常となった現代において非常に重要な役割である。
現場で活躍する方々から生の声を聞くことで、やりがいや面白さを実感できるだろう。

NTTのサイバーセキュリティへの取り組み

本書の前半ではNTTグループのCISOである横浜信一氏より、セキュリティ対策の変遷が紹介されている。
コロナ禍以前においては「仕事は会社でするのが当たり前」いう前提もあり、リモートワークをしようにも端末の持ち出しには上司の許可が必要という境界防御型のセキュリティ思想であった。
これではリモートワークの足かせとなるため、複雑化したルールに対して抜本的な見直しを行い、ゼロトラスト型の仕組みに転換した。
「ゼロトラスト」においては「すべてを疑う」と受け取られがちだが、本書では「情報資源のアクセスリクエストに対して、許容して良いかを継続的に判断するセキュリティ」と解釈している。
このように自社の方針にあわせた柔軟性も重要だとわかるエピソードである。
こうした基礎となる統一ルールを「北極星（ノーススター）」として、組織体制や活動指針とする流れも、他社が参考しやすい施策と言えるだろう。　

200名体制を誇る社会情報研究所

NTTグループにおいて14ある研究所のうち、サイバーセキュリティを担当する「社会情報研究所」では、約200人のセキュリティ研究者が在籍している。
この人数だけでも突出しているが、特筆すべきは暗号技術への強みである。情報の秘匿性・完全性・可用性を担保する暗号技術はセキュリティにおける根幹であり、世界的な暗号学会である「Crypto 2022」において採択論文数は世界トップを誇っている。
コンピュータにおける暗号化のみならず、「最大のセキュリティホール」とされる人間の過失対策に加えて、サイバー攻撃に対する訓練としてレッドチームと呼ばれる外部攻撃者視点で擬似的なサイバー攻撃を行うセキュリティチームの活動など多岐にわたっている。
こうした守備範囲の広さから、サイバーセキュリティはネットワークからソフトウェアなど幅広い知識が求められており、総合格闘技と称されるのも納得である。
こうした幅広い分野において最新情報や新たな技術を1人で把握するのは難しく、特定の領域におけるスペシャリストが複数名集まってチームを作れるのは、人材が豊富なおかげと言える。
こうした柔軟な働き方を実現するため、社内で現業に携わりながらセキュリティについて兼務できるようにするほどである。
その他にもバグ・バウンティ・プログラムと呼ばれる脆弱性の発見はNTTグループの全社員に参加資格があり、自身のスキル向上のために参加する社員が多いという。
2020年初頭に発生した顧客企業の情報漏洩においては、実際に起こった内容からインシデント対応を詳しく解説しており、自社のイメージを守って問題を伏せるよりも、あえて公開に至ったことは英断である。

セキュリティ人材1万人構想　

研究所において少数の突出した人材を輩出するだけでなく、組織全体として1万人のセキュリティ人材を育成する野心的な取り組みも行われている。
認定制度や検定などから人材育成を進めて、社内外でも実績が評価されるセキュリティの第一人者も90人が在籍している。
さらにサイバーセキュリティを社内に普及させるため、草の根からコミュニティ活動を展開するなど、グループ全体で1万人というセキュリティ人材の育成も実現しつつある。　

情報発信の重要性

本書を含めた情報発信として、日本企業唯一サイバーセキュリティに特化した情報発信チームも保有している。
様々なレポートを公表するなかで、ChatGPTとサイバー攻撃においてはChatGPTがリリースされた直後の2023年1月時点で発表している点からも素早い取り組みがうかがえる。　
また、米国のNIST（国立標準化技術研究所）、シンクタンクへの参画、アメリカやイギリスといった諸外国との連携など、国際的な活動も見逃せない。

前半の見どころ

前半はNTTグループにおけるサイバーセキュリティ対策を紹介となっている。
印象的なのは部署名を「セキュリティ・アンド・トラスト室」としている点である。
サイバーセキュリティというコンピュータの世界においても、人間同士のトラスト（信頼）を重視する意味が込められている。
ここまで紹介してきた活動において、社内外のトラスト（信頼）で重要であることは想像に難くない。
セキュリティにおいて100%安全はありえないからこそ、必ず問題が起きる前提に立って被害を最小限に食い止めるしかない。
問題をゼロにすることはできなくとも、信頼関係を構築してどのように防御していくか、何のためにセキュリティを確保するのかという指針を見失わないことが大切であると教えてくれる。

精鋭たちの挑戦

本書の後半では、NTTグループにおいてセキュリティの最前線で活躍するエキスパートへのインタビューとなる。
このようなインタビューの重要性は、顔が見えることである。

大きな組織ではどうしても個人の活躍が埋もれてしまうが、組織の成果は個人の活躍による積み重ねである。
だからこそ各々が現場でどんな苦労や発見を経験したか伝えることが重要と言えるだろう。
中には「正直インタビューに出たくなかった」という発言もある。
それでも当事者の顔を見ながら声を聞き、エンジニアや研究者として等身大の姿を知ることで、NTTでどんな人と仕事ができるのか、どんな活躍ができるのかという魅力を感じられる。
インタビューに登場する10人はそれぞれ異なる経緯をたどりながらセキュリティの第一人者となっている。
本記事では特徴的なエピソードや印象に残った内容を紹介しておき、詳しい内容はぜひ書籍を読んでのお楽しみにしてほしい。

「NTTの研究者」というイメージから、大学院や博士課程を卒業して新卒入社したエリート然とした経歴を思い浮かべるかもしれない。
しかし実際には、中途入社や現場からの叩き上げなどの多様性がある。
研究結果がRFCに採択されたものの、利用されずに挫折を味わった人もいる。
そこで挫折を味わうも、技術だけに固執せず失敗を糧にする研究者がいた。
ゴールの見えないプライバシー保護という問題において、少しずつゴールが見えてくるまで一歩ずつ確実に進んでいる。

かつてはセキュリティ担当者から問題点や懸念点を指摘される側だったので、セキュリティ担当者を嫌っていた研究者も、異動によって立場が変わることによってセキュリティ組織が報われない現実を知った。
十分なリソースや評価される機会が少ないセキュリティ担当者に報いるため、ギブ・アンド・ギブの精神で日本のセキュリティ底上げに取り組んでいる。

セキュリティチームの立ち上げにおいて、ゼロから立ち上げる大変さをケイエ検するが、むしろそれこそが自分がやりたかったことだと気付いて活躍したエピソードは、大きな成長に繋がっている。

国際規格における標準化交渉という国単位で影響を与える仕事や、国際的な権威のある団体で要職を務めることは、まさに世界各国で事業を展開するNTTでなければ経験できない。
インタビューを読めば、新たな社会を作り上げるダイナミックな仕事に憧れるだろう。

一方で地元の名古屋でセキュリティの仕事をするべく、コミュニティを立ち上げて人々の交流を深めていくことも重要となる。
同じ志を持つエンジニアや研究者が集まり、新たな活動を生み出すことでセキュリティのみならずIT業界全体の活性化にもつながる。
交流がない人でもコミュニティにおいて協力してくれるのは、本人の人柄も伝わってくる。

遺伝情報は、病気のリスクなどを発見できることから、究極の個人情報とも言われる。
新たな分野であるライフサイエンスにおいても、サイバーセキュリティが活躍していることは意外な発見であった。

インタビューではそれぞれが挫折も喜びも語りつつ、NTTグループでどんな仕事をしているのか、どんな魅力があるのかが伝わってくる。
読者としては「こんな人と仕事がしたい」「こんな事に挑戦してみたい」と思える場面が必ずあるはずだ。
本記事ではインタビューの概要を紹介するにとどめているが、重要かつ貴重なコンテンツなので、ぜひ本書で詳しい内容を読んで欲しい。

NTTのサイバーセキュリティは人である

日本のみならず世界トップクラスの実力を持つ研究者は、なぜNTTグループで働くのだろうか。
本書内でも「NTTよりも条件が良い会社に転職できるのではないか？」と、ざっくばらんに聞く場面がある。
その質問に対する答えとして印象的なのは、「自分たちが日本を守っているから、転職できない」「一緒に日本を守ろうと誘って入社した若手も多い、仲間達がモチベーションになっている」という声である。
安全で信頼できるインターネットを利用できるのは、決して当たり前ではない。
本書に登場した方々のみならず、NTTにおけるサイバーセキュリティの取り組みによって、安心と信頼のインターネットが存在するのである。
NTTでしかできないこと、NTTだから出会える人、それを伝えるのが本書において最も重要な役割と言えるだろう。
サイバーセキュリティの最前線で活躍する人々の顔と名前は、決して忘れてはならない。