7月22日、シマンテックはマネージドセキュリティサービスに関する記者説明会を開催した。7月1日に発表された「IIJ統合セキュリティソリューション」では、シマンテックの技術を用いたマネージドセキュリティサービスを展開しており、説明会では両者の提携について説明された。
CSIRTを構築できない大多数の企業のために
冒頭、IIJとの提携について説明したシマンテック 執行役員 セールスエンジニアリング本部長 外村慶氏は、日本年金機構への標的型攻撃をはじめ、さまざまな自治体や病院、企業などで標的型攻撃の被害が起こっていることを披露し、「注目したいのは発見したのが、内部の人でないこと。起こった後の発見が自分でできないことが問題。当然、対処も自分たちでできない」と指摘する。
インシデントに対して、ユーザー自ら対応するためには、SOCを立てて、CSIRTを構築する必要がある。実際、NRIの調査によると、CSIRTを構築する目的としては、「インシデントに対して迅速に対応できる」「組織としてインシデントに対応できる」が大半を占める。しかし、別の調査をひもとくとCSIRTを構築しているのは7.3%に過ぎず、92.7%はセキュリティインシデントへの対応が必要になるという。「この92.7%にセキュリティインシデントの対応を浸透させることが、われわれのチャレンジであり、ビジネスである」(外村氏)。
実際のCSIRTでは防御に目がいきがちだが、検出、対応、回復を実現する体制を整備する必要がある。これを効率的に実現するためには、大規模データセンターにネットワークやセキュリティまで運用をアウトソーシングするのが重要だという。一方で、シマンテックはセキュリティに特化するが故、運用体制やネットワークまで含めたトータルの運用が難しいという課題があった。「われわらはセキュリティ対策の深さには自信があるが、幅という点ではすべてを網羅できない」(外村氏)とのことで、顧客とのリレーションが強く、さまざまなセキュリティ機器の運用実績があり、なおかつユーザーに負荷をかけないセキュリティ監視が可能なIIJとのパートナーシップにつながったという。
100%アセットレスでクラウド型SOCを提供
続いて登壇したIIJ ソリューション本部 セキュリティソリューション部 セキュリティソリューション課長の加賀康之氏は、なぜこの段階でシマンテックと提携したかという点を説明した。
IIJは古くからマネージドセキュリティサービスを展開しており、IDSの開発にまで携わるなど、「セキュリティベンダーとしての自負もある」(加賀氏)という。しかし、顧客のグローバル化や標的型攻撃の増加といった状況に対応し、「グローバルに展開し、精度の高い脅威データベースを持つベンダーとのパートナーシップを組み、よりお客様に安心なインターネットを提供する必要が出てきた」と語る。
今回、IIJが展開するIIJ統合セキュリティソリューションでは、「100%アセットレスで提供可能なクラウド型のSOCサービス」を謳う。不正アクセスのみを検出し、データ解析・報告・アドバイス・対策を提供。通信の遮断といったインシデント対応まで行なうという。「本当の意味でお客様が欲しいと感じているセキュリティ対策をIIJのエンジニアとシマンテックのアナリストの協議によって提供する。これがソリューションのもっとも大きな価値」と語る。また、すべてIIJのクラウドサービスであるIIJ GIO側で処理するため、ログサーバーなどを配置する必要がないというメリットも大きいという。
5箇所のSOCをグローバル展開し、攻撃予兆まで検出
現状、シマンテックはグローバルで5箇所(米2箇所、インド、シドニー、イギリス、日本)にSOCを展開しており、17年の運用実績を誇る。インシデント監視や通知、アドバイスを行なうアナリスト、障害監視、復旧業務などを行なうサービスデスク、顧客ごとのサービスマネージャーのほか、カスタマーDBやWebポータルを管理するクライアントサポート、収納業務を行なうオンボーディングエンジニアなど、400名以上のセキュリティエンジニアが運用に当たっている。また、ハッカーの動向調査や相関分析ルールを運用するチームなどとも連携し、高い精度のインシデント分析を実現するという。
特徴的なのはファイアウォールやIDSのみならず、エンドポイントでの監視を行なっている点、SOCとは別にウイルス解析を専門に行なっているチームが存在する点などが挙げられる。エンドポイントとインテリジェンスの組み合わせにより、攻撃の成否のみならず、攻撃の予兆まで検出できるという。こうしたSOC体制とセキュリティ人材を組み合わせたIIJとの協業により、クラウド上においてもセキュアな環境が実現できるとのことだ。