SOC強化の背景に「地域限定」「企業限定」標的型攻撃の増加
オーストラリア・シドニーに海外拠点を置いて25年、シマンテックは2014年8月にバーケンヘッドポイントから中心街にある巨大ビルへとオフィスを移転した。
有名なオペラハウスからも近いシマンテックのシドニーオフィス
その新オフィスの16階に位置し、今回の移転に伴ってスペース、人員ともに増強されたのが、セキュリティ監視管理サービス「マネージドセキュリティサービス(MSS)」を提供する同社のセキュリティオペレーションセンター(SOC)だ。
同社SOCは、シドニーのほかレディング(英国)、アレクサンドリア(米国)、チェンナイ(インド)、東京の計5か所にある。使用するシステムやツール、その役割などは全SOC共通で、それぞれが有機的に連携しながら世界各国の顧客へサービス提供している。
シマンテックのシドニーSOC内部
その中で、シドニーのSOCはアジア太平洋地域(APAC)を統括する役割を担っている。
「10年以上も前であれば、最新のセキュリティインシデントはまず北米で発覚し、それからAPACへ拡散するのが一般的だった。そのため、APAC諸国ではトレンドの時差を利用して対策を講じることができた。しかし、現在は状況がまったく異なる。1つは、外資系企業の進出で攻撃の侵入口となるエンドポイントがAPAC諸国に拡散したこと。もう1つは、地域や企業をピンポイントで狙った標的型攻撃が増加しており、APACも例外ではないことだ」
シドニーSOCの拡張・強化の背景には、こうしたトレンドへの対応も挙げられると、アジア太平洋地域および日本担当 サイバーセキュリティサービス シニアディレクター、ピーター・スパークス氏は説明する。
シマンテック アジア太平洋地域および日本担当 サイバーセキュリティサービス シニアディレクター、ピーター・スパークス氏
顧客のビジネスを理解しなければ「深刻さ」は見極められない
MSSのサービスの流れは、次のとおりだ。まず、MSSの顧客先で収集されたセキュリティログをSOCのデータウェアハウスに格納。このログと、DeepSightグローバル脅威インテリジェンスの脅威情報とを突き合わせて相関分析を実施。確度の高い脅威情報をアナリストが実際に確認、分析して、対応が必要なインシデントがあれば、ポータルやチャット機能などを使って顧客に通知する。
深刻度が高く早急な対応が必要なインシデントに関しては、アナリストが検知してから10分以内に通知する。こうした迅速な対応を実現するために、同社では相関分析時に独自開発した9つの自動解析モジュール(ポートスキャン、IDS/IPS、異常なDoS、悪意あるURL、ATPなど)で分析を高速化している。
MSSの流れ
その後、上がってくる1日約2万1500件もの分析対象を、本当に重要なインシデントへと絞り込んでいくのだが、このとき重要となるのが顧客の事業内容や展開地域、情報資産といった予備知識だ。アナリストたちは事前にヒアリングを実施し、予備知識を蓄えるという。
「アナリストの仕事は、ただインシデントを分析、報告するだけじゃない。顧客のビジネスをきちんと理解し、その顧客にとって深刻なインシデントを見極めることが重要だ。顧客のセキュリティチームの延長線上に自分たちがいる。そう思って日々取り組んでいる」。アナリストのパランビール・アフジャ氏は、こう述べる。
セキュリティアナリストのパランビール・アフジャ氏
こうしたアナリストの存在は、シマンテックSOCの大きな強みだ。実際、同社では3~6か月の期間をかけてアナリストをじっくり教育している。
「トレーニング期間中は、各SOCの上級アナリストが指導に当たってくれる。また、トレーニングの一環として社内CTF(Capture the Flag)も開催され、攻撃者の視点や考え方を学ぶ良い機会となっている」(アフジャ氏)
(→次ページ、高度な脅威向けMSSサービス、今年は3つの新機能を追加予定)
