24時間365日サイバー攻撃からビジネスを守る! - センター長が語るCEC SOCの全貌とは? -

セキュリティ
こんにちは、YamaSanです!今回皆様にご紹介するのは、シーイーシーのセキュリティオペレーションセンター「CEC SOC」のセンター長へのインタビュー記事です。この記事を読んで、セキュリティ対策の必要性や、センター長のセキュリティに対する“熱い思い”を感じていただければ幸いです!後半、私も少しだけインタビューを受けています。

24時間365日いつでも頼れる!アナリストによるログの徹底監視・対処でセキュリティ課題を解決

トレンドマイクロ社が発表した「法人組織のセキュリティ動向調査 2020年版」によると、2019年4月~2020年3月の1年間において、国内法人組織の78.5%が何かしらのセキュリティインシデントを経験しています。

引用:法人組織のセキュリティ動向調査/トレンドマイクロ

セキュリティ対策ソフトの導入やファイアウォールの設置など、脅威の侵入を未然に防ぐ施策を行っている中、なぜ約8割もの組織・企業でセキュリティインシデントが発生してしまっているのでしょうか。

24時間365日体制でセキュリティログを監視・対処するSOC(Security Operation Center)サービス、「CEC SOC」を展開するのが株式会社シーイーシー(以下、シーイーシー)です。「CEC SOC」のセンター長である古山は「近年のサイバー攻撃は巧妙化され気づきにくいため、もはや初期侵⼊を防ぐことは不可能に近い」と断言します。

初期侵⼊は防げないという前提に立ち、攻撃や不審な動きを早期に検知し、すばやく対処するために専門組織「CEC SOC」が巧妙化するサイバー犯罪へどう対処しているのか聞きました。

あらゆるソフトウェア・あらゆる機器のログをまとめて分析

インタビュアー
インタビュアー

「CEC SOC」のサービス概要について教えてください。

 

センター長(古山)。
センター長
(古山)

「CEC SOC」は、マイクロソフト・ソフォス・トレンドマイクロなど、主要なセキュリティベンダーの製品や周辺機器のログを、統合的に監視・対処するサービスです。

神奈川県座間市と東京都港区にあるシーイーシーのセキュリティオペレーションセンターには、セキュリティ専門アナリストが常駐。24時間365日体制でログを監視し、セキュリティインシデントを検知した場合は、基本的には30分以内に電話・メールでお客様企業に通報します。さらにリスクの特定・分析および対処に加え、根本的な是正措置まで提供しています。

「CEC SOC」の役割を端的に示すと、「サイバー犯罪から情報を守ること」と言えます。

サイバー犯罪者たちは他のサイバー犯罪者と横方向にもつながっていることは有名で、彼らがポーカーゲームをするときの賞品は、不正に収集した個人情報だったりするのです。近年では、サイバー犯罪者たちが新しい攻撃手法や、攻撃する価値のある企業に関する情報などをやり取りしていることが確認されています。

 

インタビュアー
インタビュアー

「CEC SOC」では日々どのくらいのイベントを受け取っているのですか?

 

センター長(古山)。
センター長
(古山)

SIEM(Security Information and Event Management)※で受け取るイベント数の平均は、1日150万件ほどです。
※さまざまな機器から出力されるログやデータを一元的に集約。収集したデータを組み合わせて相関分析し、攻撃を早期発見する。

例えば、ある日の実績値だと、「CEC SOC」で検知したイベント総数は210万イベントほど。210万イベントのうち、明らかな攻撃が347イベント、さらにお客様への通報を要するイベントが8件でした。

通報すべきセキュリティインシデントは、基準に基づいて決定します。検知したイベントをInformation/Warning/Critical/Emergencyの4段階に分類し、通常速やかな対処が必要であるCritical、Emergencyについては、発生から30分以内の電話およびメールでの通報対象としています。

 

インタビュアー
インタビュアー

「CEC SOC」の全体像、顧客とシーイーシーとの連携について教えてください。

 

センター長(古山)。
センター長
(古山)

インシデントの検知から対処は、シーイーシーとお客様企業とで連携して行います。

まず、お客様企業内に設置したSyslogサーバーからのログ、「CEC SOC」内のSIEMと専門アナリスト、主要パートナーからの最新情報など、あらゆる知見を集約します。
Syslogサーバーというのは、顧客企業からのあらゆるセキュリティログを集約するための専用サーバーです。例えば、従業員のPCにインストールしたセキュリティ対策ソフトは休みなく動き、Syslogサーバーが、全従業員からのログ情報を受け取って集約します。集約したログ情報を解析して、各イベントの危険度や相関性を自動的に判別するのがSIEMの役割になります。

そして、知見を集約した上で、次のようなサイクルを回します。

  1. 監視
  2. 分析通報(緊急通報)
  3. 解析通報(対処支援)
  4. 月次レポート

インシデントが発生したら、お客様企業には通報後の対応を行っていただきます。例えば、「CEC SOC」からの通報では、「今すぐ○○サーバーの電源を落としてください」「○○部の○○さんのPCをネットワークから切り離してください」など、オペレーターが具体的に指示を行います。お客様企業では通報を受けたら、指示に従って実行していただくことになります。

 

インタビュアー
インタビュアー

通報に分析通報と解析通報の2種類あるのはなぜですか?

 

センター長(古山)。
センター長
(古山)

分析通報(緊急通報)では、一次通報として緊急事態であることを通知します。例えば、「AさんのPCが感染している。緊急対処としてAさんのPCのフルスキャンを実施してください」など、緊急で対処すべき情報を通知します。

分析通報(緊急通報)では、一次通報として緊急事態であることを通知します。例えば、「AさんのPCが感染している。緊急対処としてAさんのPCのフルスキャンを実施してください」など、緊急で対処すべき情報を通知します。

次に、緊急通報の後、解析通報(対処支援)で、対処を支援するための二次通報を行います。例えば、「Aさんの周辺のBさん他へのPCは、感染を免れています」などの情報です。併せて、周辺機器のログを確認することにより、そもそもの感染原因と恒久対応の支援を提供しています。

また、セキュリティ対策ソフトの更新期限が迫っているなどの情報も通知します。オプションサービスとして、セキュリティアドバイスやチューニング、セキュリティ製品のQ&A対応なども行っています。

 

相関的な解析で外部要因・内部要因 両方の情報漏えいを防ぐ

インタビュアー
インタビュアー

各セキュリティ対策製品にもログ機能がありますが、あえて「CEC SOC」が必要な理由は?

 

センター長(古山)。
センター長
(古山)

セキュリティ対策製品は、必ずしもユーザーフレンドリーとは限りません。また、さまざまなベンダーの製品や、周辺機器が蓄積するログデータは膨大で、それらを⼈の⼿でリアルタイムに分析することは不可能です。あらゆる製品・機器のログを読み解き、分析するには専門性が必要になってきます。

サイバー犯罪者の目的である重要情報の窃取が遂行されてしまう前に、対処まで完了しなくては意味がありませんので、専門性を駆使して早期に攻撃の兆候を検知することが非常に重要です。

 

インタビュアー
インタビュアー

そもそも導入したセキュリティ製品や、機器のベンダーが混在してしまう理由は何でしょうか?

 

センター長(古山)。
センター長
(古山)

製品・機器のメーカーが混在している状態では、管理工数がかかるなど弊害も多いことは、お客様企業も承知の上です。ただ、次のような理由で、“やむをえず”混在させているのが現状です。

1つは、セキュリティ対策はメーカー1社のみの製品で統一してしまうと、リスクが高いという考え方があります。例えば、ファイアウォールに強いA社と、エンドポイントセキュリティに強いB社の製品を導入して、リスク分散する企業も少なくありません。

2つ目は、“会社同士のお付き合い”という意味で、昨年はA社に発注したから今年はB社に発注するなど、取引先企業に便宜を図らないといけないという事情もありますね。

 

インタビュアー
インタビュアー

現在急増している、従業員など内部犯行による情報漏えいについて、見解を聞かせてください。

 

Yamasan
Yamasan

「人の行動による不正」、これがまさに今、シーイーシーが最も危惧している脅威です。

テレワークの急増も後押しとなり、個人のパソコンがどこまでもインターネットにつながるようになっています。“個人の行動”による不正にフォーカスしたサービスを、近々提供開始予定です。

 

センター長(古山)。
センター長
(古山)

実際、ある医療機関が行った手術の内容をTwitterに投稿してしまうという事故が起きています。技術自慢として投稿しただけだとしても、患者にとっては大切な個人情報です。

このように個人の行動による情報漏えいなどの不正を防ぐため、個人の行動に根ざすセキュリティ、「UEBA(User and Entity Behavior Analytics)」の考え方が重視されるようになりました。

  • アクセスする必要のないクラウドサービスの利用
  • クレジット番号を送信する兆候
  • 社外秘文書を印刷しようとする兆候
  • 不審な大量印刷
  • 会社の就業時間に反したログイン

これまでは、セキュリティというと入口対策や出口対策、サーバー対策やPC対策といった、機器に着目する監視・防御が主でした。上記のようなヒトの行動と、従来のセキュリティ情報を関連づけることにより、ヒトの行動に根差した脅威を検知することが可能になっています。さらに、その脅威をシステムやネットワークのセキュリティポリシーに反映するといった、ポリシー強化にもつなげることができます。

さらに、次のような詳細分析もできます。例えば、始業9時・終業17時の会社で、夜中の2時に社内リソースへのログインがあったら不審なログインと考えるでしょう。

SOCサービスを活用して、個人のデバイスからのログとネットワーク情報を相関的に解析すると、その不審なログインはブルートフォース攻撃の兆候なのか不正なアカウント利用によるものなのかといった、目的も分析できるようになります。

 

認定ホワイトハッカーCEH保持者も複数在籍

インタビュアー
インタビュアー

シーイーシーは主要ベンダーと密接に連携していると伺っています。

 

センター長(古山)。
センター長
(古山)

はい。ソフォス・トレンドマイクロ・マイクロソフトなど、主要なベンダーと連携しています。

各セキュリティベンダーと長年培ってきた信頼関係により、最新のサイバーセキュリティ情報などを共有し合っております。

 

インタビュアー
インタビュアー

セキュリティオペレーションセンターの体制や人材について教えてください。

 

センター長(古山)。
センター長
(古山)

神奈川県座間市と東京都港区の2つのセキュリティオペレーションセンター合計で、オペレーターが40名弱在籍しており、6名1チーム体制で24時間「CEC SOC」を稼働しています。オペレーターは、情報処理安全確保支援士・ISMS審査員(補)・情報セキュリティマネジメントなど、各種資格を持つ優秀な人材ばかりです。

また、第三者からの審査も受けており、経済産業省が策定した「情報セキュリティサービス基準」の適合認定も取得しています。

 

Yamasan
Yamasan

CEH (EC-Council Certified Ethical Hacker:認定ホワイトハッカー)保持者も、5名ほど在籍しています。まずは敵(ハッカー)の手口を知ることが重要ですので、CEHの取得は特に強化しています。

 

6重ゲートの強固なセキュリティ体制を整備

インタビュアー
インタビュアー

セキュリティオペレーションセンターのセキュリティについて教えてください。

 

センター長(古山)。
センター長
(古山)

「CEC SOC」は企業のあらゆるログを分析するサービスであるがゆえに、自社の情報を事業者に渡すことに抵抗のある企業も少なくありません。当社ではお客様企業の事情は十二分に理解しており、鉄壁の運用・セキュリティ体制を整備しています。

まず、「CEC SOC」には、24時間365日オペレーターが常駐していますが、ルームに入室する前に6重のゲートがあり、オペレーターであってもゲートごとにIC認証を通過しないと入れません。さらに、解析データもパスワードで保護されています。

各プロジェクトに対し、シーイーシー内で何重ものチェックや監査を実施する他、第三者機関による審査・監査も行っています。お客様企業自身でセキュリティオペレーションセンターを監査したいという場合、実際に訪問してご覧いただくことも可能です。

プロジェクトの編成にも特長があります。通常、オペレーターが6名1チーム体制で各企業のログ解析にあたっていますが、特定の企業の対応に特化した専門チーム制も採用いただけます。
専門チーム制はオプション料金になりますが、特に金融関連企業などからご要望をいただくことがありますね。
さらに、一企業だけの専用ルームを作ることもできます。

 

SOCサービスはベンダー選びが肝

インタビュアー
インタビュアー

「CEC SOC」以外にもSOCサービスがあります。気をつける点は?

 

センター長(古山)。
センター長
(古山)

お客様企業は、SOCサービスの必要性は分かりながらも、自社にあったSOCサービスは理解しておられないと感じています。

SOCサービスというものは、何もインシデントがなければ稼働状況が分からないものです。SOCサービスを提供しながら、実際SOCの活動は何もしていないという、誰もが知る大手ベンダーも実在します。また、セキュリティ対策ソフトのログやメッセージをそのまま転送することをSOCと呼んでいるベンダーもいます。

優秀なアナリストを揃え、24時間365日の体制で、本気でSOCサービスに取り組んでいるシーイーシーとしては、“正しいベンダーを選んで欲しい”と感じています。

また、SOCサービス選びを始める前に、自社の“何を守って欲しいのか”を明確にしておくことが、自社に合ったSOCサービスに出会うための重要なポイントです。SOC選定のポイントを、簡単にまとめた資料がありますので、ぜひご活用ください。

 

インタビュアー
インタビュアー

「CEC SOC」のメニューはカスタマイズできますか?

 

センター長(古山)。
センター長
(古山)

はい。基本契約の条件や月額費用を設定しているものの、お客様企業のニーズに合わせて契約内容を決められます。例えば、3ヶ月だけ契約したり、監視機材を絞ったりすることも可能です。

自社内にセキュリティアナリストを抱えている企業もありますので、監視対象やサービスの範囲は決めていません。『「CEC SOC」で検知だけ行いたいので解析は不要』などの要望にも柔軟に対応可能です。100社あったら100種類のサービスがあるべきと考えています。

なお、Syslogサーバーの設置はシーイーシーで行いますので、お客様企業での対応は不要です。Syslogサーバーがなくてもログの監視自体は可能ですが、Syslogサーバーを設置することにより、お客様~SOC間の通信が暗号化できます。また、お客様先でもログを保有いただくことによって、SOCサービス自身の稼働確認に繋がるというメリットがあります。

 

インタビュアー
インタビュアー

最後に、「CEC SOC」を特におすすめしたい業界や企業があれば教えてください。

 

センター長(古山)。
センター長
(古山)

最近では、中小企業や金融業界の企業からのお問い合わせが増えていると感じています。大手企業のほか、監視PC台数100台ほどで契約をいただいている企業もあります。だいたい、社内PCが100台を超えるとSOCサービスの導入を考えはじめるようです。

 

センター長(古山)。
センター長(古山)

シーイーシーの社員たちは、いつもお客様のセキュリティ課題が解決したときに仕事の喜びを感じると言っています。企業規模や業種にかかわらず、セキュリティに関して困っていることがあれば、まず当社にご相談いただきたいですね。SOCの無料相談会も開催しておりますのでお気軽にご相談ください。

 

※この記事は「株式会社セキュアオンライン」の許可を得て、以下に掲載されている記事を二次利用しています。

【参照】24時間365日いつでも頼れる!アナリストによるログの徹底監視・対処でセキュリティ課題を解決|サイバーセキュリティ.com

お問い合わせ

関連記事一覧