24時間365日サイバー攻撃からビジネスを守る！ － センター長が語るCEC SOCの全貌とは？ －

「CEC SOC」は、マイクロソフト・ソフォス・トレンドマイクロなど、主要なセキュリティベンダーの製品や周辺機器のログを、統合的に監視・対処するサービスです。

神奈川県座間市と東京都港区にあるシーイーシーのセキュリティオペレーションセンターには、セキュリティ専門アナリストが常駐。24時間365日体制でログを監視し、セキュリティインシデントを検知した場合は、基本的には30分以内に電話・メールでお客様企業に通報します。さらにリスクの特定・分析および対処に加え、根本的な是正措置まで提供しています。
「CEC SOC」の役割を端的に示すと、「サイバー犯罪から情報を守ること」と言えます。
サイバー犯罪者たちは他のサイバー犯罪者と横方向にもつながっていることは有名で、彼らがポーカーゲームをするときの賞品は、不正に収集した個人情報だったりするのです。近年では、サイバー犯罪者たちが新しい攻撃手法や、攻撃する価値のある企業に関する情報などをやり取りしていることが確認されています。

SIEM（Security Information and Event Management）※で受け取るイベント数の平均は、1日150万件ほどです。
※さまざまな機器から出力されるログやデータを一元的に集約。収集したデータを組み合わせて相関分析し、攻撃を早期発見する。

例えば、ある日の実績値だと、「CEC SOC」で検知したイベント総数は210万イベントほど。210万イベントのうち、明らかな攻撃が347イベント、さらにお客様への通報を要するイベントが8件でした。
通報すべきセキュリティインシデントは、基準に基づいて決定します。検知したイベントをInformation／Warning／Critical／Emergencyの4段階に分類し、通常速やかな対処が必要であるCritical、Emergencyについては、発生から30分以内の電話およびメールでの通報対象としています。

インシデントの検知から対処は、シーイーシーとお客様企業とで連携して行います。

まず、お客様企業内に設置したSyslogサーバーからのログ、「CEC SOC」内のSIEMと専門アナリスト、主要パートナーからの最新情報など、あらゆる知見を集約します。
Syslogサーバーというのは、顧客企業からのあらゆるセキュリティログを集約するための専用サーバーです。例えば、従業員のPCにインストールしたセキュリティ対策ソフトは休みなく動き、Syslogサーバーが、全従業員からのログ情報を受け取って集約します。集約したログ情報を解析して、各イベントの危険度や相関性を自動的に判別するのがSIEMの役割になります。
そして、知見を集約した上で、次のようなサイクルを回します。

1.監視
2.分析通報（緊急通報）
3.解析通報（対処支援）
4.月次レポート

インシデントが発生したら、お客様企業には通報後の対応を行っていただきます。例えば、「CEC SOC」からの通報では、「今すぐ○○サーバーの電源を落としてください」「○○部の○○さんのPCをネットワークから切り離してください」など、オペレーターが具体的に指示を行います。お客様企業では通報を受けたら、指示に従って実行していただくことになります。

分析通報（緊急通報）では、一次通報として緊急事態であることを通知します。例えば、「AさんのPCが感染している。緊急対処としてAさんのPCのフルスキャンを実施してください」など、緊急で対処すべき情報を通知します。
次に、緊急通報の後、解析通報（対処支援）で、対処を支援するための二次通報を行います。例えば、「Aさんの周辺のBさん他へのPCは、感染を免れています」などの情報です。併せて、周辺機器のログを確認することにより、そもそもの感染原因と恒久対応の支援を提供しています。
また、セキュリティ対策ソフトの更新期限が迫っているなどの情報も通知します。オプションサービスとして、セキュリティアドバイスやチューニング、セキュリティ製品のQ＆A対応なども行っています。

セキュリティ対策製品は、必ずしもユーザーフレンドリーとは限りません。また、さまざまなベンダーの製品や、周辺機器が蓄積するログデータは膨大で、それらを⼈の⼿でリアルタイムに分析することは不可能です。あらゆる製品・機器のログを読み解き、分析するには専門性が必要になってきます。
サイバー犯罪者の目的である重要情報の窃取が遂行されてしまう前に、対処まで完了しなくては意味がありませんので、専門性を駆使して早期に攻撃の兆候を検知することが非常に重要です。

製品・機器のメーカーが混在している状態では、管理工数がかかるなど弊害も多いことは、お客様企業も承知の上です。ただ、次のような理由で、“やむをえず”混在させているのが現状です。

1つは、セキュリティ対策はメーカー1社のみの製品で統一してしまうと、リスクが高いという考え方があります。例えば、ファイアウォールに強いA社と、エンドポイントセキュリティに強いB社の製品を導入して、リスク分散する企業も少なくありません。

2つ目は、“会社同士のお付き合い”という意味で、昨年はA社に発注したから今年はB社に発注するなど、取引先企業に便宜を図らないといけないという事情もありますね。

「人の行動による不正」、これがまさに今、シーイーシーが最も危惧している脅威です。
テレワークの急増も後押しとなり、個人のパソコンがどこまでもインターネットにつながるようになっています。“個人の行動”による不正にフォーカスしたサービスを、近々提供開始予定です。

はい。ソフォス・トレンドマイクロ・マイクロソフトなど、主要なベンダーと連携しています。
各セキュリティベンダーと長年培ってきた信頼関係により、最新のサイバーセキュリティ情報などを共有し合っております。

このように個人の行動による情報漏えいなどの不正を防ぐため、個人の行動に根ざすセキュリティ、「UEBA（User and Entity Behavior Analytics）」の考え方が重視されるようになりました。

・アクセスする必要のないクラウドサービスの利用
・クレジット番号を送信する兆候
・社外秘文書を印刷しようとする兆候
・不審な大量印刷
・会社の就業時間に反したログイン

これまでは、セキュリティというと入口対策や出口対策、サーバー対策やPC対策といった、機器に着目する監視・防御が主でした。上記のようなヒトの行動と、従来のセキュリティ情報を関連づけることにより、ヒトの行動に根差した脅威を検知することが可能になっています。さらに、その脅威をシステムやネットワークのセキュリティポリシーに反映するといった、ポリシー強化にもつなげることができます。

さらに、次のような詳細分析もできます。例えば、始業9時・終業17時の会社で、夜中の2時に社内リソースへのログインがあったら不審なログインと考えるでしょう。

SOCサービスを活用して、個人のデバイスからのログとネットワーク情報を相関的に解析すると、その不審なログインはブルートフォース攻撃の兆候なのか不正なアカウント利用によるものなのかといった、目的も分析できるようになります。

はい。ソフォス・トレンドマイクロ・マイクロソフトなど、主要なベンダーと連携しています。

各セキュリティベンダーと長年培ってきた信頼関係により、最新のサイバーセキュリティ情報などを共有し合っております。

神奈川県座間市と東京都港区の2つのセキュリティオペレーションセンター合計で、オペレーターが40名弱在籍しており、6名1チーム体制で24時間「CEC SOC」を稼働しています。オペレーターは、情報処理安全確保支援士・ISMS審査員（補）・情報セキュリティマネジメントなど、各種資格を持つ優秀な人材ばかりです。

また、第三者からの審査も受けており、経済産業省が策定した「情報セキュリティサービス基準」の適合認定も取得しています。

CEH （EC-Council Certified Ethical Hacker：認定ホワイトハッカー）保持者も、5名ほど在籍しています。まずは敵（ハッカー）の手口を知ることが重要ですので、CEHの取得は特に強化しています。

「CEC SOC」は企業のあらゆるログを分析するサービスであるがゆえに、自社の情報を事業者に渡すことに抵抗のある企業も少なくありません。当社ではお客様企業の事情は十二分に理解しており、鉄壁の運用・セキュリティ体制を整備しています。

まず、「CEC SOC」には、24時間365日オペレーターが常駐していますが、ルームに入室する前に6重のゲートがあり、オペレーターであってもゲートごとにIC認証を通過しないと入れません。さらに、解析データもパスワードで保護されています。

各プロジェクトに対し、シーイーシー内で何重ものチェックや監査を実施する他、第三者機関による審査・監査も行っています。お客様企業自身でセキュリティオペレーションセンターを監査したいという場合、実際に訪問してご覧いただくことも可能です。

プロジェクトの編成にも特長があります。通常、オペレーターが6名1チーム体制で各企業のログ解析にあたっていますが、特定の企業の対応に特化した専門チーム制も採用いただけます。

専門チーム制はオプション料金になりますが、特に金融関連企業などからご要望をいただくことがありますね。

さらに、一企業だけの専用ルームを作ることもできます。

お客様企業は、SOCサービスの必要性は分かりながらも、自社にあったSOCサービスは理解しておられないと感じています。

SOCサービスというものは、何もインシデントがなければ稼働状況が分からないものです。SOCサービスを提供しながら、実際SOCの活動は何もしていないという、誰もが知る大手ベンダーも実在します。また、セキュリティ対策ソフトのログやメッセージをそのまま転送することをSOCと呼んでいるベンダーもいます。

優秀なアナリストを揃え、24時間365日の体制で、本気でSOCサービスに取り組んでいるシーイーシーとしては、“正しいベンダーを選んで欲しい”と感じています。

また、SOCサービス選びを始める前に、自社の“何を守って欲しいのか”を明確にしておくことが、自社に合ったSOCサービスに出会うための重要なポイントです。SOC選定のポイントを、簡単にまとめた資料がありますので、ぜひご活用ください。

はい。基本契約の条件や月額費用を設定しているものの、お客様企業のニーズに合わせて契約内容を決められます。例えば、3ヶ月だけ契約したり、監視機材を絞ったりすることも可能です。

自社内にセキュリティアナリストを抱えている企業もありますので、監視対象やサービスの範囲は決めていません。『「CEC SOC」で検知だけ行いたいので解析は不要』などの要望にも柔軟に対応可能です。100社あったら100種類のサービスがあるべきと考えています。

なお、Syslogサーバーの設置はシーイーシーで行いますので、お客様企業での対応は不要です。Syslogサーバーがなくてもログの監視自体は可能ですが、Syslogサーバーを設置することにより、お客様～SOC間の通信が暗号化できます。また、お客様先でもログを保有いただくことによって、SOCサービス自身の稼働確認に繋がるというメリットがあります。

最近では、中小企業や金融業界の企業からのお問い合わせが増えていると感じています。大手企業のほか、監視PC台数100台ほどで契約をいただいている企業もあります。だいたい、社内PCが100台を超えるとSOCサービスの導入を考えはじめるようです。

シーイーシーの社員たちは、いつもお客様のセキュリティ課題が解決したときに仕事の喜びを感じると言っています。企業規模や業種にかかわらず、セキュリティに関して困っていることがあれば、まず当社にご相談いただきたいですね。SOCの無料相談会も開催しておりますのでお気軽にご相談下さい。