情シス必見の高度セキュリティ対策(第5回)

SOCはサイバー攻撃の脅威に立ち向かう“砦”

2018.03.20

クリップについて

 高度化・巧妙化が著しいサイバー攻撃。新たな標的を求める攻撃者に応えるかのごとく、毎日のように新たな問題、セキュリティホールが発見される。期待されているのが24時間、365日体制で監視を行う拠点「SOC(サービスオペレーションセンター)」の役割である。

場当たり型の対策に限界

 2018年1月、英国の技術系メディアから「インテル製CPU(中央処理装置)に脆弱性あり」とのニュースが報じられた。CPUは情報機器の動作をつかさどる頭脳だ。脆弱性は重大な脅威に直結する。現在のところ、この脆弱性を突いた攻撃は発生していないとのことだが、インテル製以外のCPUでも同様の問題が存在すると分かった。関係各社は対応に追われている。

 2017年に大きな被害をもたらしたソフトウエア「Apache Struts2」による情報流出事件でも見られたように、脆弱性が発見された際は、直ちに該当する機器の隔離、パッチ適用などの対策を講じる必要がある。これに対し、攻撃者はまだ知られていない脆弱性発見に注力する。セキュリティ対策はこうした攻防の繰り返しとなる。だが、最近ではこのような「場当たり型」の対策では対抗できないのではないかとの指摘が目立つ。

 注目されているのがAI(人工知能)だ。セキュリティ分野におけるAI活用の歴史は長く、現在もマルウエア(ウイルス)や不正アクセスの検知に広く用いられている。1日に100万以上の亜種が出現しているといわれるマルウエアや、大量のログを扱うためにもAIの技術は欠かせない。しかし一方で、攻撃者から見てもAIは強力な武器となりうる。例えば、システムに侵入するきっかけとなる脆弱性の発見や、標的型メールの送付先選定、マルウエアの動作管理など、これまで人手をかけて行ってきた攻撃手法にAIを悪用することも考えられる。このことはそのままサイバー攻撃の激化につながる。

わずかな前兆を見逃さないリアルタイム監視のニーズ

 それでは、高まるサイバー攻撃の脅威に対抗する最適な手段とは、何なのだろうか。場当たり型の対策を改めるという意味では、事前に危険を察知し、被害を最小限に抑える取り組みが挙げられるだろう。言い換えれば「戦略的対策」だ。対策を進めるためには、まず相手の出方を確認する必要がある。24時間、365日のリアルタイム監視だ。

 コンピューター黎明(れいめい)期の1950年代から、パソコンのビジネス利用が本格化する1990年代まで、リアルタイム監視は金融機関や社会インフラなど、一部の限られた業種で行われる特殊な業務だった。しかし、インターネットの普及で常時接続が一般化するのに伴い、ニーズが拡大。今では幅広い業界の企業、組織でその必要性は高い。

 リアルタイム監視の目的は、文字通りシステムを構成する機器類の動作状況や、社内外のネットワークを介して行われる通信を絶えずチェックし、いち早く異常を発見することにある。ただし、これは簡単な仕事ではない。監視中にもし「これは怪しい」と思われる動作、通信を見つけたとしても、それをすべて確認するには相応の時間がかかる。安全を考えてネットワークを遮断した場合も、システム停止は業務効率の低下を招き、さらにはビジネスチャンスの逸失などの悪影響を与えてしまう。このため各企業、組織はセキュリティに関する豊富なスキルを持つ人材の確保、育成により力を入れる必要がある。

 ところが、IoTやビッグデータといった新技術の登場は、セキュリティ担当者の負担を増すことにもつながった。経済産業省の調査によると、2020年には全国で20万人以上の人材不足が懸念されている。現実問題として、この状況でサイバー攻撃の脅威に立ち向かうのは非常に分が悪い。そこで、セキュリティに関する高度な技術、知識を持つスタッフを配置し、顧客のシステムやネットワークを24時間体制で監視するSOC(サービスオペレーションセンター)への期待が高まっている。

専門スタッフが常駐するSOCの特徴

 現在、世界各国には数多くのSOCが存在し、その規模や業務内容もさまざまだ。「攻撃を検知して被害を防ぐ」という目的はいずれも同じだが、提供されるサービスにはそれぞれ特徴がある。

 NTT西日本グループのNTTネオメイトが運営するMC-SOC(Managed Cloud Service Operation Center)は、「監視・運用・保守」というセキュリティ対策の各要素をトータルで提供する拠点として2017年9月に開設された。この背景には、深刻な人材不足によってセキュリティに不安を抱く顧客の増加や、ネットワーク全体を含めたマネージドオペレーションサービスへのニーズの高まりが挙げられる。

 また、同社がセキュリティ事業を展開するもう1つの背景として、自社のノウハウを活用できるという点がある。もともと同社はNTT西日本が提供する通信インフラおよびネットワークサービスの運用や監視、保守を担ってきた実績がある。セキュリティ対策においても監視という重要な要素に、蓄えたノウハウを活用しやすいわけだ。そのため、ネットワークやセキュリティの運用や監視、保守をトータルでサポートできることが強みといえるだろう。

 MC-SOCは「システム監視・最適化」「セキュリティ分析」という一般的なSOCの対応範囲に加え、インシデント発生時には通信遮断措置などの緊急対応、不正通信先のIPアドレスのブラックリスト登録などの本格対応サポート、回復後のサポートなどを幅広く提供している。これらのサービスは、復旧に至る部分でシステム管理者にかかる負担が重くなるのを踏まえたものだ。

 NECの「サイバーセキュリティ・ファクトリー」は、同社が手掛けるサイバー攻撃対策の中核拠点として設立されたSOCだ。攻撃の高度化により分析が必要な情報が増え続ける中、同社はAIを活用して過去の事例との類似度を可視化し、アナリストを支援する「脅威分析システム」を2017年5月に導入した。本格導入に先立つ試験では、分析対象となるアラート通知件数が従来の3分の2となり、監視業務の負荷軽減が実証されている。

 NRIセキュアテクノロジーズの「ファイアウォールネットワークセンター(FNC)」は、1995年にサービス開始した老舗のSOCだ。同社はインターネット接続におけるセキュリティ確保をテーマに、ネットワークの設計・構築から運用監視まで、すべてのセキュリティ対策を請け負う。顧客には金融業界など厳しいセキュリティ要件を抱える企業が多く、その信頼性には定評がある。

 これらのSOCはアウトソーシングサービスとして提供されるが、最近では自社内でSOCやCSIRT(インシデント対応チーム)を作る企業、組織も増えつつある。SIer各社はこうしたニーズに応えるため、立ち上げから運用まで支援する体制を整備している。

セキュリティ改善のポイント

 リアルタイム監視は多くの企業、組織で導入が進みつつある。しかし、単純な監視、検知の仕組みだけでは攻撃を避けられない状況にあるのも事実だ。そこで注目を集めているのが、脅威を自動分析するSIEM(Security Information and Event Management)である。

 システムに侵入するマルウエアの9割以上が未知のものといわれる現在、いかに早く脅威を発見できるかは、極めて重要なテーマだ。次世代型監視システムと呼ばれるSIEMは、さまざまな機器から得られる情報(ログ)を一元管理し、自動的に分析することで早期対応に役立てる。なお、SIEMが「疑わしい」と判断したログには脅威とならないものも含まれるため、判定には高度なスキルを持つ分析官(アナリスト)の存在が欠かせない。

 また、SOC業務を外部委託する際には「サポート」も重要なポイントになる。インシデント発生が通知されるのはもちろんだが、その他の対応はサービス提供者によって差があるようだ。インシデントの危険度判定や拡大防止、復旧に向けたアドバイスなど、多岐にわたるサポートが可能か、チェックすべき項目は多い。

 ウイルス対策ソフトなど、従来の方法では防ぎ切れない攻撃が頻発している現在、24時間、365日の監視は有効な対策といえるだろう。人的にも、またコスト面でも負担の大きい業務だが、セキュリティはITを活用するための責務と考える姿勢が重要だ。

SID : 00122005

執筆=林 達哉

執筆=林 達哉

あわせて読みたい記事

連載記事≪情シス必見の高度セキュリティ対策≫

PAGE TOP