重視すべきは、セキュリティ強化とオペレーション負荷の軽減。NTT東日本のSOCが考える、クラウドセキュリティの在り方

ClickFixや生成AIの悪用、サプライチェーンへの攻撃など、多様化し続ける外部からの攻撃手段

企業のセキュリティにとって脅威となる攻撃手法には、昨今どのような変化があるのでしょうか。

最終的に企業が被る影響としては、ランサムウェアや情報漏えいなどが今でも中心で、根本的なリスク構造は変わっていないと感じています。侵入方法も大きく変化しておらず、マルウェアを送り込んだり、システムの脆弱性を突いたり、認証情報を奪って侵入したりといった手口が依然として主流です。その中で強いて変化を挙げると、近年「ClickFix（クリックフィックス）」と呼ばれる手法は攻撃者側にとって新たな発見だったのではないかと思います。

ClickFixとは、ユーザー自身の手で悪意ある攻撃コードを実行させる手法です。従来のようにマクロを実行させたり脆弱性を突いたりする必要がなく、単にユーザーを騙して操作させれば成立するため、攻撃者側の敷居が低くなっています。攻撃者側からすれば「なぜこんな簡単な手口を今まで思いつかなかったのだろう」と感じているのではないでしょうか。（鈴木）

私が昨今の脅威として感じているのは、サプライチェーンへの攻撃です。多数のグループ会社を抱える大手企業の場合、関連企業から侵入されてグループ本体へ被害が拡大するケースが増えており、これは海外でも同様の事例が多く報じられています。

また生成AIの進化によって、日本語の不自然さが排除されたフィッシングメールが簡単に作れてしまうため、従業員教育の重要性が一段と増しています。人がPCを使う以上、人自体が脆弱性になり得ますので、リテラシー向上は避けて通れない課題だと感じています。（平野）

製品の導入だけでは不十分。クラウド時代に求められるセキュリティ強化の体制作りと投資判断

企業がセキュリティ対策を進めるうえで、どのような要素を重視すべきなのでしょうか？

セキュリティ製品の導入は、導入すること自体がゴールではなく、定期的に運用を見直すことが大切だと思います。身近な例を挙げると、かつては通信の多くがHTTPで行われていましたが、いまやほぼすべての通信がHTTPSで暗号化されており、以前の製品のままでは検査自体が行えないケースもあります。また、リモートワーク化といった業務の変化や活用する技術の変化を踏まえたうえで、自社のセキュリティ対策が現在のままでも有効なのか、継続的に見直すことが欠かせません。

セキュリティ運用の観点では、日々のアップデートが重要です。昨今はメールゲートウェイやSSL-VPN装置など、本来はセキュリティ対策のために導入したはずの装置の脆弱性を突かれ、そこから侵入される事例がこの数年で増えています。セキュリティ対策のハードウェア・ソフトウェアを導入して「これで安心だ」と放置してしまうと、逆にリスク要因になりかねないのです。

もし自分たちでメンテナンスできないのであれば、マネージドサービスを積極的に採用すべきだと思います。SaaSであればソフトウェアの脆弱性への対応はSaaS事業者がアップデートしてくれますから、自社導入よりコストがかかる面はあるものの、運用稼働やリスクを考えるとプラスになるケースは多いと感じています。（鈴木）

セキュリティ対策に対する適正なコストについて、どのように考えるとよいのでしょうか。

基本的には「守りたい対象がやられてしまった場合の被害額」をベースに考えるべきだと思います。たとえば10年に1度くらいの頻度で攻撃を受けると仮定し、想定される被害額が1億円なら、その被害を受ける確率10％を掛け合わせて1年あたりの被害額の期待値は1,000万円という形で定量化できます。その期待値以下であれば投資しても良い、期待値を大きく超えるようであれば本末転倒で過剰なセキュリティ投資になっている、という感覚です。

具体例として分かりやすいのはメーカー企業の出荷停止のケースで、ランサムウェアに感染すると少なくとも1カ月は出荷が止まり、被害額が何億円にもなるケースがあります。その場合、ランサムウェアにやられる確率を何パーセントと置き、自社の期待値が何千万円になるのであれば、そこまではランサムウェア対策に予算を割いても良い、という説明の仕方ができます。

一方で行政や、実質的な「納品物」を持たない企業の場合は、ブランド力の毀損によってどれだけ売上や株価が下がるのかを厳密に計算することは難しく、同程度の規模感を持つ他社の事例を参考にしながら判断していくというのが実情です。（鈴木）

企業が自社でセキュリティ対策を進めるうえで、体制や担当者はどのような課題を抱えているのでしょうか。

セキュリティ運用のためのリソース不足と、技術・ノウハウの不足が、セキュリティ対策の大きな壁になっているケースは多いように感じます。またセキュリティ運用を24時間365日で行うのであれば、それだけのシフト勤務を組んで人員を配置し、かつ一定以上の知識を持った人を揃える必要がありますが、その体制を維持するために必要なコスト面の課題もあります。

事業規模にもよりますが、せっかく万全のセキュリティ体制を構築したとしても、毎日毎晩、常に大量のセキュリティアラートが出るとも限らず、「思ったほどセキュリティの業務が発生しないな」と判明することもありますし、逆にある日突然アラートが急増して今いるメンバーだけでは足りなくなることも。こうしたセキュリティ対策の流動性に対応することは、自社でのセキュリティ運用では難しいのです。（鈴木）

自社で運用する場合は、24時間365日監視できる体制がないと、攻撃者との時差の関係で深夜帯に攻撃を受けてしまうケースをこれまで何度も目にしてきました。有事の際にきちんと耐えられる環境が整っているかどうかは重要ですし、日々の運用・監視・アラート対応を行う人材がいたとしても、運用ルール自体を抜本的に見直せるだけのスキルを持つ人がいない、という状況も考えられます。そのスキルを持つ人材を確保することが難しいのであれば、外部に委託するという選択肢を含めて検討せざるを得ない、というのが現状だと思います。（平野）

アラートの分析精度と支援の深さ。自社の判断プロセスに合ったSOCを選定する際のポイントとは

セキュリティ運用を支援するパートナーには、どのような要素を重視すべきなのでしょうか。

実は一般的なSOC（セキュリティ・オペレーション・センター）では、企業ごとにセキュリティ運用に対するスタンスがかなり異なります。パートナーの選定段階では判断しにくい部分なのですが、インシデント対応の実績と対応の内容から、その企業のスタンスを推測することができます。

NTT東日本の場合は、お客さまにとって本当に必要なアラート・インシデントだけを通知するスタンスを重視しています。本当にマルウェアに感染しているのか、Webサーバーが侵害されているのかといった点を判断したうえで、「おそらくこういう状況になっているので、こういう対処をお勧めします」といった形でお伝えしています。お客さまが本当に担うべき役割は意思決定であり、その意思決定を支えるために必要なのは適切なリスク評価だと考えているからです。

一方で、とにかく1分1秒でも早く通知することを重視し、検知したセキュリティアラートを伝えるだけで、その後の判断はお客さまに任せるといったSOCもあります。SOCとしての介在価値を示すために質問に答えたり、後日に分析結果を共有したりといった対応をするSOCもありますが、お客さまの立場で通知を受け取って考える回数は多くなります。どちらが良い悪いではなくスタンスの違いであることを理解したうえで、自社に合うSOCを選んでいただくことが重要だと考えています。（鈴木）

セキュリティ運用の相談に対して、「ログの量も料金に合わせていくらでも削れます」「どのようなセキュリティ製品でも対応できます」といった提案をされる企業のSOCもあると思いますが、私個人としてはあまりお勧めしません。当社のSOCでは「ご依頼にあたっては、〇〇のログを一定量以上は必ず送っていただきたい」との基準を定めています。セキュリティ検知のログだけでなく、一般的なトラフィックログやWeb閲覧のログなども包括的に分析することで、セキュリティ製品に依存しない相関分析やアラート調査を行っているのです。

極端にログを絞る場合、たとえばIPSの検知ログだけしか送られてこなければ、IPSで検知された内容以上の情報が欠落するため、検知も分析もできません。ログを極端に削りたいという要望に対し、「それではサービス品質を保証できないので受けられません」と明確に線を引くべきであり、これは製品についても同様です。「どの製品でも対応します」ではなく、「この製品とこの製品は得意ですが、この製品は難しいです」とはっきり伝えてくれるSOCこそ、長期的に信頼できるパートナーであると考えています。（平野）

その他にNTT東日本のSOCとして、重視しているスタンスを教えてください。

お客さまからの質問にお答えする際には、必ず複数人で回答内容をレビューするようにしています。「お客さまが本当に知りたいことは何か」「この説明だけでは伝わらないのではないか」「このお客さまは詳しそうだから、もう少し踏み込んだ内容を書いたほうが良いのではないか」といった観点で議論しながら、お客さま向けポータルサイトでのコミュニケーションを組み立てています。担当者の思考や意図が伝わるよう配慮することで「顔の見えるSOC」を意識し、サポートへの信頼性を高めていることも特徴です。

そうした社内レビューの仕組みを通じて、単に自社都合の提案をするのではなく、お客さまの理解度や状況を踏まえた説明になっているかを意識しています。これは社員数や実務経験などのリソースが豊富なNTT東日本のSOC組織だからこそやり切れる取り組みだと感じています。（平野）

ポイントは仕組みと運用のバランス。NTT東日本のSOCが提供する「セキュリティオプション（AWS WAF＆Amazon GuardDuty）」

NTT東日本のSOCが提供する「セキュリティオプション（AWS WAF＆Amazon GuardDuty）」について教えてください。

企業のDXが進む中でクラウド利用はもはや当たり前になり、特にAWSは多くの企業が採用する基盤になっています。しかし同時に、セキュリティ運用は年々複雑化し、外部からの攻撃や不正アクセス、アカウント情報の漏えいリスクなど、脅威の幅も広がっています。AWS WAF（Web Application Firewall）やAmazon GuardDutyといったAWSが提供するセキュリティサービスは強力ですが、アラートの精査や環境に応じたチューニングには専門知識が不可欠です。

たとえば、AWSが提供するマネージドルールをそのまま適用するとアラートの発生件数が多くなりがちで、担当者の負担が膨らむケースが少なくありません。そこで実際の環境に即したルールの調整が必要なのですが、これにはAWSの構造理解と攻撃手法の知識が求められ、企業の内製ではなかなか対応しきれない部分があるのです。

NTT東日本のSOCでは、長年のセキュリティ運用で培ってきた実績があり、その中で蓄積した知見をもとに独自ルールセットを整備しています。SOC独自のカスタムルールを適用し、AWSのマネージドルールと併用して使用することで、誤検知を最小限に抑えながら本質的な脅威を検知できるよう調整しています。そのため、担当者が無駄なアラートに追われることなく、重要な脅威対応に集中できる環境を整えることが可能になるのです。（菅原・鈴木）

「セキュリティオプション（AWS WAF＆Amazon GuardDuty）」では、どのような監視体制を構築しているのでしょうか。

ご提案するプランによって変わってきますが、当社のSOCでは24時間365日の監視体制を構築しています。スタンダードプランでは専任アナリストが昼夜問わず監視し、深夜・休日の攻撃にも迅速に対応します。また、以下の5つの重点項目を軸にサービスを構成していることも特徴です。

• WAFやGuardDutyからの大量のアラートを分析し、実際の影響度を加味した上で“真の脅威”を見極める
• お客さまの要件に応じた許可リスト・ブロックリストの設定対応
• 問い合わせへの専門的な説明
• 日次点検と必要に応じたネットワークの遮断
• 月次レポートによるセキュリティ状況の可視化

私たちが日々の業務で特に重視しているのは、機械・仕組みでは判断しきれない部分を人が補完することです。アラートの意味合いは環境によって大きく異なりますし、単純な機械的フィルタリングでは誤った判断につながりかねません。そこで、経験豊富なアナリストがアラートを読み解き、必要に応じて遮断対応や追加調査を実施します。夜間・休日でも影響が大きいと判断すれば即時通知するなど、状況に応じた判断をすることにこそ、私たちオペレーション担当者の価値があると考えています。（菅原・鈴木）

これまでの取り組みの中で、印象に残っているケースを教えてください。

社員数が数百名規模のお客さまで、サーバーがランサムウェアに感染してしまった事例が特に印象的です。EDRの導入から日が浅いお客さまがいらっしゃり、最初の1〜2週間ほどはチューニング期間中ということで、ブロックする設定ではなく検知のみのモードで運用していました。そのような環境下で、サーバーがランサムウェアに感染してしまい、気づいたら2台目、3台目と急速に感染が広がっている、まさに危機的な状況でした。

本来、チューニング期間中はリアルタイムでの対応やお客さまへの通知はサービス範囲外だったのですが、ポータルや電話、営業担当経由など、あらゆる連絡手段を試みました。しかし、どの連絡手段でもつながらず、時間だけが経過する状況に陥ったのです。最終的にはEDRの機能を使って感染端末をすべて隔離し、感染拡大を止める判断を下しました。

翌日、営業担当者経由で感染状況と隔離措置についてご説明したところ、私たちの判断で隔離したことに大変喜んでいただけました。感染拡大が続けば、いずれはファイルサーバーなどの重要なサーバーに悪影響が及ぶおそれがあり、それ以上の被害拡大を防ぐことができたのは意味があったと感じています。（平野）

今回のケースのように連絡がつかず、このままでは明らかに感染が広がると判断した場合には、SOCとしてネットワークや端末を隔離するという仕様を、あらかじめ共通のルールとして明文化し、お客さまにもお伝えしています。もちろん、公開Webサーバーのように隔離するとお客さまの業務を完全に止めてしまうものについては慎重に判断しますが、そうしたノウハウも含めて「どこまで踏み込んだ対応をするか」を設計していることはポイントです。このケースでは結果的にお客さまからも評価いただきましたし、中小企業向けサービスとして、最も効果的だったインシデント対応の一つだったと思います。（鈴木）

複雑化するクラウド環境で対処すべき課題は増えていく。企業に求められるセキュリティ対策の在り方

今後のセキュリティ運用は、どのように変化していくと考えていますか。

クラウド環境のセキュリティは、今後さらに複雑化することが予想されています。新たな攻撃手法の登場や規制要件の強化、マルチクラウド環境の広がりなど、企業が対処すべき課題は増える一方です。こうしたセキュリティ環境の変化の中でも、「お客さまの負担をできるだけ少なくする」という私たちの姿勢は引き続き大事にしていきたいですね。

セキュリティ強化のために大量のアラートを出し、お客さまにそのままアラートの内容をお伝えすることもできますが、そのたびにお客さまの負担が増えてしまえば、本末転倒です。お客さまにとって本当に必要だと判断したインシデントのみを通知し、「こうした対処が推奨されます」とレコメンドすることを今後も継続していきます。

加えて、さまざまなセキュリティ製品のラインナップを増やしていく予定ですので、お客さまの状況や課題に応じて必要な製品をしっかり揃えている体制を目指していきます。（鈴木）

読者へのメッセージをお願いします。

セキュリティ対策は、ツールや機器を導入すれば終わりではありません。導入後も運用と定期的な見直しが重要です。セキュリティ対策の導入ばかりに気を取られて、既存の対策の見直しや運用を怠ると、対策の効果が薄くなってしまったり、ガチガチな制限や時代錯誤な対策により業務に支障がでたりと、さまざまなデメリットが生じることもあるでしょう。特に後者の場合、業務影響を嫌って従業員自らが抜け道を作ってしまい、そこからランサムウェアや情報漏えいのリスクが新たに生じる危険性もあります。セキュリティと利便性、そして業務全体のバランスを取りながら、日々見直していくことが重要なのではないでしょうか。（鈴木）

NTT東日本は、企業や地域の自治体に対して数多くのセキュリティ運用支援を提供してきた実績がございます。多様なクラウド環境やシステム構成に応じた運用設計に加え、自社内で分析力・対応力を高めてきたことで、より高度なSOCサービスをご提供できる体制を整えております。セキュリティ運用に関するご相談、お問い合わせを随時受け付けておりますので、お気軽にご相談ください。

• 文中記載の組織名・所属・肩書き・取材内容などは、すべて2025年11月時点（インタビュー時点）のものです。
• Amazon Web Services（AWS）は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。