ソフトバンクは“苦い教訓となった内部インシデント”をどう糧にしたか？

ソフトバンクは積極的にセキュリティ対策に取り組む企業だが、はじめからそうだったわけではない。同社が猛省して本気で対策を講じた裏には、黒歴史ともいえるインシデントがあった。同社のCISOが自社の取り組みを赤裸々に語る。

[宮田健，ITmedia]

　ガートナージャパン（以下、ガートナー）は2025年7月23〜25日、「ガートナー セキュリティ ＆ リスク・マネジメント サミット2025」を開催した。その中でソフトバンクの飯田唯史氏が登壇。「ソフトバンクにおけるセキュリティ対策の進化とその最前線」と題し、先見的なリーダーとして自社の取り組みを紹介した。

　飯田氏は自社のセキュリティ体制の現状、過去の重大インシデントからの教訓、内部脅威対策の進捗（しんちょく）、AIエージェントを活用した未来のセキュリティ運用構想について語り、同社のセキュリティ強化へのコミットメントを示した。その様子をレポートしよう。

猛省したソフトバンクのセキュリティ改革に迫る

　飯田氏は2002年にソフトバンクBBの前身であるビー・ビー・テクノロジーに中途入社し、ネットワークや技術分野でさまざまなミッションに従事、2018年には現在の職責であるCISO（最高セキュリティ責任者）に就任、以来7年間セキュリティ強化に尽力している。2024年にはAI倫理委員長も務め、AIのガバナンス強化も推進中だ。

ソフトバンクの飯田唯史氏（常務執行役員 兼 CISO）（筆者撮影）

　ソフトバンクのグループ会社は320以上の組織が集まっており、広大なエコシステムを形成している。そのセキュリティ体制は数字にも表れており、セキュリティ専門部隊は200人体制だ。

　セキュリティ予算はIT予算のうち約8〜10％を占めており、これは業界の相場内であるという。しかし飯田氏はそう説明する一方で「私の中では（予算は）まだまだ足りない。いろんな技術を導入したい」と本音を漏らす。

　ソフトバンクは2004年から本格的にセキュリティ対策に取り組んできた。飯田氏が講演で特に強調したのは、同社が2004年に経験した「黒歴史」とも呼ぶべき重大インシデントからの猛省だ。

　同社は2004年、「Yahoo! BB」の顧客情報450万件の漏えいという大規模なインシデントを引き起こした。さらに、2019年にも内部情報漏えいの被害に見舞われた。

　飯田氏は「これらは全て内部脅威の事案だ」と述べる。同社が内部脅威対策に本格的に着手したのは2020年からであり、それ以前の16年間は「内部脅威対策においては空白期間があったと反省をしている」と同氏は率直に語る。

内部脅威対策に生まれた空白期間　爆速キャッチアップの裏側

　内部脅威対策の空白期間が生まれた背景には2つの課題があった。まず内部脅威対策専属の担当者がおらず、必要なスキルも未確立であったこと。次にソリューションの選択肢が圧倒的に少なかったため、限られたソリューションを組み合わせて工夫しながら運用せざるを得なかったことだ。

　しかし2019年の重大インシデント発生後、同社は内部脅威対策に対して猛烈なキャッチアップを開始した。再発防止を徹底するため、約12カ月という限られた期間で以下の4つの分野に取り組んだという。

• チームビルディング：　「よりすぐり」の4人でチームを立ち上げた。ノウハウはゼロからのスタートであったという
• ルール整備：　「ルールがなければ違反という定義もない」との考えに基づき、ルールの見直しと厳格化を徹底した
• ソリューション導入：　UEBA（User and Entity Behavior Analytics：異常な振る舞い検知）やPC画面の全録画としてのITM（Insider Threat Management）といったソリューションを導入した
• オペレーション：　フォールスポジティブ（誤検知）との戦いや、えん罪を防ぐための調査手法の確立

　飯田氏はこれらを基に、「正当業務の中でやったのか、悪意を持って不正をしたのか、そういったところの見極めを、エビデンスを収集しながら、証拠固めをするのに多大な時間を費やした」と説明する。

内部不正対策は「検知力向上」と「隙を作らない」の2軸で攻めよ

　これらの取り組みに関して、同社が最もこだわったポイントは「検知力を高める」と「隙を作らない」の2点だという。

1．検知力の向上

　同社はアノマリー検知（異常検知）に特に力を入れている。具体的には、私的なSaaS利用、大量のファイルアップロード／ダウンロード、時間外や深夜、休日の機密情報へのアクセス、普段使わないシステムへのアクセスなど、従業員の「普段と違う行動や不審な動き」をデジタルで自動的に検知する仕組みを構築した。この仕組みを2021年度から本格運用した結果、検知したリスクは前年比で3倍に増加した。

　しかし誤送信の件数は2021年度から2024年度まであまり変わっておらず、飯田氏はこれを「われわれにとっての弱点」と認める。新たなSaaSの無断活用が毎年発生している現状があると述べる。

　さらに電子メールによる情報不正持ち出しの検知にも取り組んでいる。同社では1日に1000万件もの送信メールがあり、そのうち社外へと送信されるメールが75万件にも上る。これらの膨大な電子メールの中から、添付ファイルや本文に含まれる機微な情報が正当な業務によるものか、あるいは不正行為であるかを見極めるのは人力では至難の業であるため、AIを活用した情報持ち出し検知の仕組みをパイロット導入した。

2．隙を作らない取り組み

　同社は「味方であるわれわれの従業員を攻撃者に変えない、敵にしない」という目的のために「隙を作らない」取り組みを進めている。このための具体的な対策は以下の通りだ。

• 退職申請後のSOC監視レベル強化：　退職申請をした従業員に対してはさまざまな行動を、自動的かつ総合的に監視し、評価している
• 中途入社者のSOC監視レベル強化：　中途入社者が前の会社で機密情報をうっかり持ち込まないかどうかもチェックし、監視を強化している
• 個人単位でのSaaS制御：　SaaSへのアクセスや、アップロード・ダウンロードといった細かい操作制御を個人単位で実施している。しかしSaaSは日々増え続けるWebサービスであるため全てを制御の網の中にかけるということが非常に困難だ。一方で「それでも何もやらないというわけにはいかないため、できうる限りの制御をかけていく」（飯田氏）と継続的な取り組みの重要性を強調した
• AIによる誤送信抑止アラート：　AIによる誤送信抑止アラートを2025年6月からパイロット的に導入した。先行導入した一部の現場部門からの評価は「結構良い」（飯田氏）という感触を得ている

外部脅威、SOC運用、人材流出　まだまだ問題は山積み

　内部脅威だけでなく、同社は外部脅威とも戦い続けている。

　SOCでのアラート対応の実態はさらに圧倒的だ。1日平均1000万件ものアラートが発生し、これを人力で対応しようとすれば「3年かかる」計算になるという。そのため、アラートの99.98％は機械による自動対応で処理されている。しかし残りの0.02％（1日当たり2000〜3000件）は機械では対応困難な高度な攻撃や未知の攻撃であるため、どうしても人力で対応せざるを得ないのが現状だ。

　ただ、このような過酷な環境が、セキュリティ人材の流出につながっている。同社のセキュリティ部門の離職率は全社平均の2.5倍に上る。飯田氏はこれを「負のスパイラル」と表現し、案件の増加や対応時間の長時間化、人員の不足がワークライフバランスの崩壊を招き、最終的に離職や休職につながることを説明した。さらに、セキュリティ業界全体が人材不足であり、他社からの高条件での引き抜きも頻繁に発生し、同社のトップエンジニアも引き抜かれる事例があることを明かした。

　この問題に対し、同社は幾つかの対策を講じている。一つは、2024年度から導入した「新たな従業員評価制度」だ。「サイバーセキュリティストラテジスト」「サイバーセキュリティアナリスト」「ペネトレーションテスター」「サイバー犯罪捜査官」といった市場価値の高いセキュリティ専門職に対し、同社の給与水準を引き上げて市場とのギャップを埋めることで、離職防止効果を狙っている。初年度は20人がこの制度を適用したという。

AIエージェントを活用した未来のセキュリティ運用とは？

　飯田氏は講演の終盤で、AIエージェントを活用した未来のセキュリティ運用に関する野心的な計画を語った。先日開催された「ソフトバンクワールド」では、グループ全体で「10億AIエージェントを作る」という宣言があった。なおユニークなことに、同社は「全従業員が1人あたり100個のAIエージェントを作る」という「夏休み宿題」を課している。

　これを踏まえて飯田氏はセキュリティオペレーションへのAIエージェントのアプローチについて2つの可能性を示した。一つは、SIEM（Security Information and Event Management）からSOAR（Security Orchestration, Automation and Response）へと渡された情報をAIエージェントで処理し、セキュリティオペレーションの自動化をさらに推進するというものだ。

　もう一つは現在のSOCにおける人力対応をAIエージェントに置き換えることだ。フェーズ1では、人間が「ヒューマン・イン・ザ・ループ」として必ず介在し、AIエージェントがサポートに回る体制を目指す。フェーズ2では、AIエージェントが互いに協調し、サイバー攻撃を統合分析して自律的に対応することを目指す。

　飯田氏は「人材不足を補うためにAIエージェントの力を借りて運用する。こういったことを真剣に考えて進めていく」とし、親会社として「One SOC」を構築し、全グループ会社のセキュリティ監視・運用を一元化していくという壮大なビジョンを示した。

　同氏は最後に「われわれの取り組みはまだまだ道半ばだ」とし、現状に満足することなく、さらなるセキュリティ強化が必要であるとの認識を示した。そして同講演について「われわれの途中のこの経過をお知らせしたにすぎない。皆さんからもいろいろなフィードバックやお知恵を拝借しながら強化を継続する。ぜひともお力をお貸しいただければ」と聴衆に呼びかけ、今後のセキュリティ強化への協力を求めて講演を締めくくった。