レジリエンス

グローバルな脅威情報の収集/活用

NTTは、サイバーセキュリティとレジリエンスに対する米国政府のイニシアティブである、共同サイバー防衛連携（JCDC、Joint Cyber Defense Collaborative）にアジアで最初のメンバーとして加入しました。

2021年に米国サイバーセキュリティ・インフラセキュリティ庁（CISA）によって設立されたJCDCは、官民合同のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。メンバーは民間企業としては、AT&T、Verizon、Lumen、Microsoft、Google、Cisco、Mandiant、Palo Alto Networks等のいわゆる大手通信企業、メガテック企業、主要セキュリティ会社であり、加えて米国政府のインテリジェンス関連省庁が名を連ね、米国にとっての友好国のサイバーセキュリティ関連省庁も参加しています。NTTは、JCDCから得られるグローバルなインテリジェンスを活用し、重要な情報ネットワークの保護や、サイバーインシデントへの対応等をより効果的に実施することが可能となります。また、NTTは他のJCDCメンバーとの情報共有を通じ、サイバーセキュリティに関する取組みをさらに推進することができます。

これまでのCISA、並びに米国政府との協力・信頼関係を基に、JCDCにアジアからのユニークな視点を提供するとともに、NTTのリーダーシップ、及びセキュリティに関するグローバルな経験や幅広い専門知識を共有します。サイバーセキュリティをめぐりグローバル規模で不透明な時代が当面続くと思われますので、私たちの日常生活を支える重要な社会インフラシステムを脅かすサイバー攻撃を防御するために、サイバーセキュリティの官民連携は、米国とのみならず、国際的に必要とされるものと確信しています。

レッドチーム

NTTでは、2019年にレッドチームを設立しました。レッドチームとは、外部の攻撃者の視点に立って疑似的なサイバー攻撃を行うチームです。サイバーセキュリティにおける攻撃と防御の関係はいたちごっこのようなところがあり、どんなに防御をしても次々と新しい攻撃手法が編み出されてしまいます。また、攻める方は何度でも様々な攻撃を仕掛けてそのうち1回成功すればよいのに対し、守る方はすべてを守り切らなければならず、攻撃者優位の構図にあります。こうした状況に対応するため、内部に疑似的攻撃チームを持って、攻撃者目線で対応策を練るという発想に立って作られたのがNTTのレッドチームです。その目的はあくまで防御力の向上であり、したがって活動も疑似攻撃を行ったら終了ではありません。疑似攻撃の後に、対象となったシステムの脆弱性や組織としての課題を分析・整理して報告し、改善のアドバイスまで提供すること、場合によっては改善の実行支援まで行うこと、それがNTTのレッドチームの活動内容です。

バグ・バウンティ・プログラム

NTTでは、2022年にバグ・バウンティ・プログラムの試験運用を行い、2023年から本格的に開始しました。バグ・バウンティとは、情報システムに潜むセキュリティの穴を見つけた人に支払う報奨金です。NTTではこの制度を以下の目的で実施しています。

①悪意ある第三者に脆弱性を悪用される前に発見・対処することで、ＮＴＴグループのセキュリティレベル向上をめざす。

②参加する社員に攻撃者目線でのセキュリティスキルを研鑽する場を提供することで、セキュリティ人材の育成を図る。

試験運用では、会社のセキュリティ向上に貢献するだけでなく、潜在的なセキュリティ人材を発見し、さらには腕を磨く効果もあることがわかりました。本格運用は2023年から始まったばかりなので、継続的に洗練度を高めていくことになりますが、その過程でセキュリティ向上は全社員参加・会社全体で進めるもの、という意識も広めていきます。