--- {}
--- Title: 2025年度情報セキュリティ部のインターンシップの様子を紹介します! Category: - テクノロジー - インターン - セキュリティ
Draft: true
はじめに
こんにちは、NTTドコモビジネス情報セキュリティ部です。 今年、NTT ドコモビジネス(旧 NTT コミュニケーションズ)の情報セキュリティ部では、 2 週間 × 5 つのポスト × 7 人のインターン生 に来ていただきました! 本エントリーでは、インターン生視点で見た」配属されたポストの内容、得た学び、研究と現場の違い¥といった生の声をご紹介したいと思います。
- はじめに
- インターンシップ参加者紹介
- ポスト1: ネットワークセキュリティ製品を活用したデータ分析、実装および運用高度化
- ポスト2: CSIRTでのサイバー攻撃等に関するOSINT業務等の実施
- ポスト3: CSIRTでのサイバー攻撃への対応実践と高度分析
- ポスト4: CSIRTでのサイバー攻撃への対応実践と高度分析
- ポスト5: CSIRT運用業務の効率化に向けたAPI開発
- おわりに
インターンシップ参加者紹介
- ポスト1: ネットワークセキュリティ製品を活用したデータ分析、実装および運用高度化
- 認知科学・脳科学を専攻、修士 1 年の泉澤行太です。セキュリティエンジニアの業務理解を深めるため、実務体験を目的にインターンへ参加しました。
- 環境都市工学専攻で無線センサネットワークの不正検知を研究している修士 1 年の辻幸生です。現場でのインシデント対応を通じて将来像を明確にしたく参加しました。
- ポスト2: CSIRTでのサイバー攻撃等に関するOSINT業務等の実施
- 情報メディア学を専攻している修士1年の戸田です。CSIRT や脅威インテリジェンスにかかわる業務理解を深めるために参加しました。
- ポスト3&4: CSIRTでのサイバー攻撃への対応実践と高度分析
- 情報理工学専攻で、 MTD(Moving Target Defense)について研究している修士 1 年の小川です。CSIRT 活動に関心があり、EDR やフォレンジック技術の実務体験を目的に参加しました。
- 情報工学を専攻で、Android アプリの解析を研究している修士 1 年の佐藤です。インシデント対応のプロセスに魅力を感じ、CSIRT の現場で必要なスキル習得を目指して参加しました。
- 情報系専門学校 3 年生の富永です。専門学校での研鑽に加え、個人的にクラウドやオフェンシブセキュリティに取り組んでいます。守る側の視点を養うことと、CSIRT の役割理解と実践力向上を目的に参加しました。
- ポスト5: CSIRT運用業務の効率化に向けたAPI開発
- 電気通信大学大学院 情報理工学研究科 情報学専攻 修士 1 年の清水です。研究内容は IoT NW のセキュリティです。企業での開発業務や運用プロセスを体験し、研究との違いを学ぶために参加しました。
ポスト1: ネットワークセキュリティ製品を活用したデータ分析、実装および運用高度化
ポストの紹介
通信ログをもとに不審な通信を監視・検知し、インシデントの防止や調査を行う業務です。具体的には A. IoC 調査 B. 接続の可視化 C. ログ装置の異常検知などを実施しました。
業務内容
A. IoC 調査
NDR で取得した 2 種類の通信データをもとに、IoC(Indicator of Compromise)調査を実施。 脅威 IP から社内 IP への片方向通信を分析し、攻撃の可能性を検討しました。さらに VirusTotal を用いた IP レピュテーション調査を通じて、外部の脅威情報と社内ログを組み合わせた実践的な分析手法を学びました。
B.網内外の接続の可視化
NDR の監視精度向上を目的に、通信ログから網間・網外接続の判別と通信方向の分類を行うプログラムを作成。
接続種別ごとに可視化することで、ネットワーク構成の把握やインシデント調査に活用できる仕組みを構築しました。
C.通信ログ転送装置の異常可視化
通信ログ転送装置 Exporter のデータ転送量の異常を Power BI で可視化し、現場での運用に即したダッシュボードを構築。
転送量の欠損や急変、異常アドレスの抽出、平日/休日ごとに判定基準を用意するなどの工夫の結果、NDR の信頼性を補完する仕組みを実現しました。
振り返り
泉澤さん
今回のインターンでは、社員の方々のお話を伺ったり、上記には書いていませんが他ポストの業務も一部体験できたりと、非常に学びの多い 2 週間でした。セキュリティエンジニアの業務は想像以上に幅広く、自身の進路を考えるうえでとても有意義な時間となりました。
辻さん
実際のインシデント対応業務を通じて、業務の目的や影響範囲を常に意識することの重要性を学びました。また、初めて触れる Power BI では、必要なコラムの設計や、誰もが理解しやすい可視化に苦労しましたが、試行錯誤を重ねて乗り越えることができました。現場のニーズに柔軟に対応する力を養えたと感じています。この経験を今後の学びや就職活動にも活かしていきたいです。
ポスト2: CSIRTでのサイバー攻撃等に関するOSINT業務等の実施
ポストの紹介
OSINT(Open Source Intelligence)を中心に、脅威インテリジェンスや脆弱性インテリジェンスを活用し被害を未然に防ぐ業務です。 具体的には、企業における脅威インテリジェンスの基礎と、実際の脆弱性事例に関するレポート作成を行いました。
業務内容
A. 脅威インテリジェンスの基礎学習 初日に脅威インテリジェンスの講義を受け、その後、用語や分析手法を自分の言葉でまとめる課題に取り組みました。知らなかった概念の理解を深めるだけでなく、既知の知識も整理でき、学びを定着させる良い機会となりました。
(おすすめ参考図書 『サイバー攻撃から企業システムを守る! OSINT 実践ガイド』 日経 Linux)
B.脅威インテリジェンスレポーティング
「2025 年 7 月に発生した MS の重大な脆弱性について調査し、社内影響を判断した結果をレポーティングする」という課題に取り組みました。
ToolShell(オンプレミス SharePoint における複数の重大な脆弱性)に関する技術的な情報はすでに多く公開されていたため、私は脅威アクターや攻撃手法に焦点を当てて整理しました。ここではタイムラインを図で示すなど、読み手に伝わりやすい構成を意識し、また正確な情報を直感的に伝えられるようダイヤモンドモデルや信頼水準の考慮も取り入れました。
作成したレポートは部内で発表し、社員の方々からフィードバックをいただくことで、情報の選び方や説得力のある構成について学び、業務としてのレポートに理解が深まりました。
振り返り
脅威インテリジェンスの実践を通じて多くの学びがありましたが、とりわけ、知識をレポートとして形にする難しさを実感しました。 情報の信頼度やバイアス、論理的誤謬に注意しながら分析を進める中で、教えていただいた手法を活用し、自分なりに工夫したレポートを作成できたと思います。 今後はニュースや脅威レポートを継続的に読み、自分の分析力を高めていきたいです。
ポスト3: CSIRTでのサイバー攻撃への対応実践と高度分析
ポストの紹介
CSIRTフロントチームとして、セキュリティ製品のアラートや、ユーザおよび社内組織からのインシデント申告への対応業務を担っています。
業務内容
チームでスキル向上の取組みとして行われているMITRE社が開発したCALDERA™を用いた演習を実施し、アラート対応のスキル習得や、対応方法の改善検討を行いました。
演習環境 被害端末と攻撃端末の2台の仮想マシンを用意し、やられ端末にはEDRが導入されています。本演習では、このEDRからのアラートを使用します。
演習1日目は、模擬攻撃で発生したEDRのアラートを分析し、対応策の検討を行いました。 アラートの分析段階では、MITRE ATT&CK® に基づいて攻撃者の挙動を整理し、今後想定される脅威を列挙しました。次にアラートの対応段階では、分析内容から必要になる対処を考えました。
演習2日目は、CALDERA上でAbilityを組み合わせ、攻撃シナリオを作成しました。Abilityとは攻撃者の具体的なアクションを定義したものであり、コマンド等を入力し独自に作成することもできます。下の画像は、デフォルトで定義されているAbilityの1つです。
さらに、攻撃シナリオを実行し、EDRによる検知状況を確認しました。その後、EDRの検知精度を高めるために、どのようなロジックを追加すべきか考察しました。下の画像は、攻撃シナリオの一例です。
振り返り
小川さん CSIRTという防御を担う組織でありながら、自ら攻撃シナリオを考え、それらが検知されるかを確認する演習を行いました。攻撃の手口や進め方を具体的に想定し、それに基づいて検知の有効性を確かめる過程は普段の学習では得られない実践的な経験でした。 この経験を通じて、防御の質を高めるためには、防御側であっても攻撃者の視点を学ぶことが求められると実感しました。攻撃者の思考を理解することで、潜在的なリスクや改善点に気づきやすくなり、より効果的な防御策を考えられることを学びました。
佐藤さん アラート対応の自動化が進む一方で、チームメンバーが実際に手を動かして対応する機会が減少し、スキル育成の面で課題が生じていることを学びました。このような状況に対して、MITRE社が提供するCALDERAを活用した演習を通じて、攻撃者視点での思考や攻撃手法に関する知識を習得し、アラート対応スキルの向上を図る取り組みが行われています。インターンでこの演習を経験し、セキュリティ運用の効率化とスキル向上の両立の重要性を学びました。また、攻撃手法に精通することで、より効果的な防御策の構築が可能になることを実感できた貴重な経験でした。
富永さん EDRを使用してアラート対応を行えたことが、特に印象に残っています。個人ではなかなか触れる機会のないツールであり、実際の運用フローに沿って対応できたことは貴重な経験でした。ただ、アラートの中には誤検知も多く含まれており、それが通常業務によるものなのか、攻撃によるものかを見極める難しさも体感しました。 こうした判断には、技術的な知識だけでなく、業務の文脈を理解する力も求められることを学びました。現場とのヒアリングを通じて業務背景を把握することが、より正確な対応に繋がると感じました。
ポスト4: CSIRTでのサイバー攻撃への対応実践と高度分析
ポストの紹介
デジタルフォレンジック調査や脆弱性管理などの業務を実施しています。
業務内容
チーム内でスキルアップとして取り組まれているディスクフォレンジック演習の2つに取り組みました。
本記事ではそのうちの1つである、侵害された分散ファイルシステム(Hadoop/HDFS) の解析を行いました。演習環境は、masterを中心としたslave1、slave2の3ノードで構成されており、複数ノードにまたがるファイル操作やアクセスログの追跡を行いました。
具体的には、各ノードのログイン履歴やコマンド実行履歴、ファイルアクセスログ、システムログ、パッケージ管理ログ等を確認し、不正な操作や異常なアクセスパターンを特定する作業を実施しました。結果として、不審な実行ファイルを発見し、レピュテーションサイトで検索をかけると、複数のセキュリティベンダが危険だと判断していることが分かりました。
加えて表層解析を行った結果、攻撃の手がかりとなる有力な情報を掴むことができました。 さらに、調査を円滑に進めるために、各ログから得られた情報を整理してタイムラインを作成し、攻撃の全容を一目で把握できるようにしました。最終的には解析結果に基づき、発見した脆弱性や不正操作に対する具体的な対応策も検討しました。
振り返り
小川さん フォレンジックにおいて攻撃の痕跡を時系列で整理することが重要であることを学びました。タイムラインを意識することで、初期侵入から権限昇格、横展開、永続化といった攻撃の流れを把握しやすくなり、全体像を明確に捉えられました。 また、今回は演習後に調査内容を報告する必要があったため、調査項目と判明事項をスライドに記録しながらフォレンジックを進めました。普段は調査内容をまとめることはしていませんでしたが、今回は記録しながら進めたことで同じ箇所を調べ直す必要がほとんどなくなり、作業効率が向上しました。 時系列の整理と記録が、効率的で正確なフォレンジックに欠かせないと実感しました。
佐藤さん ディスクフォレンジックを通じて、攻撃者がシステム上に残した痕跡の調査を行いました。ログやアーティファクトを解析し、MITRE ATT&CKフレームワークに基づいてTTP(戦術・技術・手順)で分類することで、攻撃の全体像を正確に把握できることを学びました。 このプロセスを通じて、単なる事象の確認にとどまらず、攻撃者の意図や行動の流れを深く理解することが可能になることを実感しました。さらに、TTPに基づいて分類・整理することで、復旧作業においても漏れなく対応できるようになり、インシデント対応の精度と効率が大きく向上することが分かりました。
富永さん 初期侵入から横展開、権限昇格、永続化といった一連の攻撃フローをフォレンジックの観点から体験できたことで、実践的なスキルが身についたと実感しています。 攻撃者の痕跡はログファイルに残ることが多く、複数のログを突き合わせて状況を判断し、タイムラインを構築して攻撃の全体像を整理する重要性を学びました。一方で、明確なログが残らないケースもあり、その場合はタイムスタンプの不自然な変化や関連イベントの前後関係をもとに推測を立てる必要があると感じました。 フォレンジック調査だけでなく、「どうすれば有効な対策を立てられるか」といったお客さま目線に近い視点についても、他のインターン生の発表や解説を通じて、自分では気づけなかった観点を得ることができました。
ポスト5: CSIRT運用業務の効率化に向けたAPI開発
ポストの紹介
セキュリティオペレーションの効率化と高度化を目的とした開発業務です。 参加したポストは「CSIRT運用業務の効率化に向けたAPI開発」で、①アラートメールの自動チケット化と②Microsoft Sentinelでのアラートルールの作成の業務を実施しました。
業務内容
ここでは①アラートメールの自動チケット化について記載を行います。
受信したセキュリティアラートメールの内容を自動でServiceNowにチケット起票するシステムの開発を行いました。 情報セキュリティ部では、日々発生するセキュリティインシデントに対して、以下のような多様な情報源から対応を行っています。 - セキュリティアラート(SIEM、EDRなど) - 外部の脅威インテリジェンス情報 - 各部門からの報告(メール、電話、チャットなど)
これらの情報はそれぞれ異なるツールやチャネルで管理されており、インシデントの全体像を把握するのが困難という課題がありました。この課題を解決するためにServicenowを活用し、インシデント管理の一元化を進めています。 本インターンでは、実際のセキュリティアラートメールを模したメールを対象に、受信したセキュリティアラートメールの内容を自動でServiceNowにチケット起票するシステムの開発を行いました。
要望されたシステムの概要は以下の通りです。 1. アラートメールは、①初報アラートメール②更新メール③週刊レポートメールの三種類が届く 2. 初報アラートメールの内容をもとにServiceNowで新規チケット起票 3. 更新メールの内容をもとにチケットを更新 4. 週刊レポートメールは無視 5. アラートメールの添付ファイルをSharePointに保存 6. チケットの起票・更新とセキュリティレポートのURLをTeamsへ通知
上記の要望を踏まえ、要件定義書を作成しました。要件定義書には、背景、ユーザストーリー、機能要件、非機能要件を記載しました。記載に当たっては、実装する際のフローを意識すること、その後の開発をスムーズに行えるように様々な場面に対する処理をクライアントと十分にすり合わせることを意識しました。
次に、作成した要件定義書をもとにAzure Logic Appsというプラットフォームを使用して開発実装に取り組みました。Azure Logic Apps は、Microsoft Azure が提供するクラウドベースのワークフロー自動化サービスです。コードを書かずに、さまざまなサービスやアプリケーションをつなぎ、業務プロセスを自動化できます。
トリガーを「アラートメールを受信したとき」とし、分岐を用いて、①初報アラートメール②更新メール③週刊レポートメールを場合分けしました。
また、さまざまなアクションを使用することで、メール内容の取得、ServiceNowでのチケット起票・更新、Teamsへの通知を実装しました。
実際にアラートメールを受信した際の動作を以下に示します。アラートメールの赤枠の部分を取得し、ServiceNowの赤枠の部分に入力が行われ、自動でチケットの起票・更新が行われます。チケットが起票・更新されるとTeamsへ通知が送信されます。
また以下のように、アラートメールに添付されているセキュリティレポートはSharePointへ保存され、保存先のURLがTeamsへ通知されます。
この開発業務において工夫したことは、メールの各項目の内容が変化しても対応できるように、メールの情報を取得する際に関数を用いてメール内容を動的に取得したことです。また、今回実装には至りませんでしたが、さらに時間があれば例外時の処理に取り組みたかったです。想定している検知事象以外の内容を含むアラートメールへの対応や、メールの各項目が空欄だった際のエラー通知処理を追加実装したかったです。
振り返り
2週間という短い期間でしたが、本インターンシップを通じて開発業務の一連のプロセスを体験でき、とても貴重な経験になりました。大学での開発とは異なり、クライアントの要望を正確に汲み取り、実装に反映させる難しさを実感すると同時に、その過程に大きなやりがいを感じました。 また、要件定義書を初めて作成し、要件定義がその後の開発の効率や品質につながることを実感し、クライアントとのヒアリングと確認を繰り返す合意形成の重要性を学ぶことができました。 本インターンシップで得た学びや経験を、今後の研究活動やキャリア形成に役立てていきたいです。さらに、将来セキュリティエンジニアとして活躍できるように、セキュリティの知識を深めるための学習を行っていきたいです。
おわりに
インターン生の皆さまに執筆していただいたインターンシップの様子と感想について紹介しました。 インターン生の皆さま、サイバーセキュリティ業務でお忙しい中ご協力ありがとうございました!
NTTドコモビジネスは、本エントリーを読んで情報セキュリティチームに興味を持たれた方のご応募をお待ちしております。 インターンシップは残念ながら来年度以降になってしまいますが、28卒以降の方は是非来年度、NTTドコモビジネスのインターンプログラムにお申込みいただければ幸いです。
