Symantecが12月2日、新たなセキュリティ運用センター(SOC)をシンガポールに設立した。豪州、英国、米国、インド、日本に続く世界6拠点目だ。各SOCは相互連携して24時間365日の高いサービスレベルを実現するため、拠点追加は日本にとっても朗報である。
では、日夜脅威と戦うSOCはどのように運用されているのだろう。東京SOCのセンター長を務めるシマンテック マネージドセキュリティサービス 日本統括の滝口博昭氏の案内で、組織、人、技術の面からSOCの裏側に迫ってみた。
滝口博昭氏
最も注力するサービス「CSS」
現在Symantecが最も注力するのが、グローバルな脅威インテリジェンスを活用し、セキュリティ監視やインシデントレスポンス(IR)などを行うサイバーセキュリティサービス(CSS)だ。
世界中の脅威情報を提供する「DeepSight Intelligence Services」、SOCから顧客のシステムを監視する「Managed Security Services」、有事の迅速対応を支援する「Incident Response Services」、サイバー戦争ゲーム形式でセキュリティを学べる「Security Simulation Services」という4種類で構成される。
CSSを構成する4種のサービス
「DeepSight Intelligence」は、「Global Inteligence Network(GIN)」で構築されたさまざまな脅威情報源から、最新の脅威傾向や攻撃パターン、その対処策などを提示する。157カ国・地域に存在する4150万以上の攻撃センサー、5000万人以上のエンドユーザーからなる巨大なコミュニティ、500万ものおとりアカウントから取得する80億件/月以上のメール、130億/日のWebリクエストなどから、業種に特化した情報を提供するのも特徴だ。
「Managed Security Services(MSS)」は、顧客環境に導入されたセキュリティ製品(他社製品含む)をSOCから24時間365日監視・運用し、日夜収集されるログからセキュリティイベントを解析。専門家の目で対応可否や優先度を判定し、実際に深刻なインシデントが発生した際はIRチームと連携し、迅速な事態収拾を図る。
MSSの概要
「Incident Response Services(IR)」は、事態収拾の実働部隊が現場に赴きセキュリティフォレンジックを実施する。同社が特徴的なのは、緊急時の事後対応だけでなく、ユーザー企業のIR計画やトレーニング、ワークショップなどプロアクティブな施策にも対応することだ。セキュリティ製品群のリモートコントロールなどを駆使して、より初動を早める「IR as a Service」の提供も予定している。
MSS(左)とIR(右)のサービス内容
「Security Simulation Services」は、ゲーム形式でセキュリティを学ぶ実践的な教育プログラム。企業の環境を再現し、攻撃側と防御側に分かれて擬似的に争う。金融や製造など業種固有のシステムを仮想的に構築し、実際の環境に即した訓練が行われる。
「脅威情報だけ知りたい」「自社環境を監視してほしい」「監視は自ら行うのでIRだけ」――ユーザー企業のセキュリティ体制に応じて、4種のサービスを個別に選んで利用できるのも、CSSの特徴である。
東京SOCの精鋭12名
その中核となるのが、世界6カ所に設置されたSOCだ。現場を見るのがなかなか難しいため、その運用についてはあまりよく知られていない。今回、東京SOC センター長の滝口氏の計らいで、詳しい話を聞くことができた。
東京SOCは、豪州、英国、米国、インドに次ぐ5拠点目として、2012年11月に設立された。これらSOCはグローバルで共通のオペレーションを採用し、拠点間で連携することで世界中の脅威に対応している。今やセキュリティに国境は関係ないが、日本語レポートなど国内向けに改良されたサービスは、東京SOCが開設したことで提供可能となったものだ。
滝口氏が率いるのは、MSSで監視業務を提供するチーム。ユーザー環境内のセキュリティ製品から継続的にログを収集する「Log Collection Platform」を設置し、「Symantec Big Data Analytics」と呼ばれる相関分析プラットフォームに蓄積されるセキュリティイベントを解析するのが主な任務だ。
MSSの技術構成。顧客環境に設置したログ収集プラットフォームから、相関分析プラットフォームへ膨大なログが集約され、相関分析が行われる
東京SOCは現在、滝口氏を含め計12名で運営されている。主役となるアナリスト(解析担当)が3名いるほか、初期設定・ログ収集の死活監視を行うエンジニアや、全体の進捗を管理するサービスマネージャーなどが在籍する。
平均年齢はおよそ35歳。日本人を中心にフランス、ボリビア、インド、フィリピンなど国際色豊かで、「グローバルの視点で脅威に対抗するため、意図的に多国籍な人材を集めている」。特にアナリストには高いスキルが求められ、「監視やウイルス解析などの熟練者を引き抜いている」(滝口氏)という。
実際、Symantecの幹部も「アナリストの人材育成に注力している。それが他社との差別化要素」と力説するほど、アナリストに要求されるものは大きい。3~6カ月間のアナリスト育成期間を経て「インシデント対応認定」を受ける。その前提として「GIAC Certified Intrusion Analyst」資格も必要となる。
「人材にこだわるのは、攻撃者も人間なら、その狙いを見抜いて対策できるのも人間だから」(同氏)。同社がCSSという「サービス」に注力するそもそもの理由でもある。
膨大な分析を支える技術基盤
では、実際にアナリストの業務はどのようなものか。
東京SOC
東京SOCをのぞいてみると、前方に3台の巨大モニターが設置されている。そこに表示されるのは、全体の進捗状況やサマリーなどだ。一方、アナリストの個人モニターには、実際のセキュリティイベントが表示されている。それをつぶさに調べて、危険なインシデントが発生していたら、即座に見抜くのがアナリストの仕事となる。
とはいえ、東京SOCが現在契約中の企業は42社、監視対象デバイスは数千台にもおよぶ。そこから収集されるセキュリティイベントは数えきれないほど膨大なものだ。限られた人数で対応するためには、アナリストのスキル以外にICT技術も重要となる。
技術面でアナリストを支えるのが、前述の相関分析プラットフォーム「Symantec Big Data Analytics」だ。原型は10年以上前からあるものだが、2015年にApache Hadoop/Spark/Kafkaといった技術を採り入れ、文字通り「リアルタイムビッグデータ処理基盤」として生まれ変わった。
相関分析プラットフォームの概要。2015年にApache Hadoop/Spark/Kafkaで生まれ変わった
膨大なセキュリティログをリアルタイムに相関分析するものだ。世界共通のシステムなので、各国・地域からログが集まってくる。当然、様々なセキュリティイベントが集約される。そこから「同じ送信元IPからの怪しい通信」といった相関関係を見つけて、1つのイベント群として束ねてくれるのが、メリットとなる。
その情報は「Symantec ARC(Analysis and Response Console)」というコンソールに蓄積。各国のアナリストが自分の担当分を決めながら、そのイベントが危険なものか、ただそう見えるだけかを判断していく。
「この相関分析の仕組みがなければ、膨大なログを1件1件精査しなければならず、作業量は比較にならないほど膨大。リアルタイムにログ監視を行うために、なくてはならない技術」と滝口氏はいう。
また、「リアルタイムビッグデータ処理基盤」として強化されたほか、2015年には不審なトラフィック増減を検出する機能や、過去3カ月のログから侵害のパターンを浮き彫りにして予兆検知に活用する機能など、解析パワーも拡充。それらはまさに「リアルタイムビッグデータ処理」の性能があって初めて実現できた機能だと説明している。
日々緊迫の現場
このようにシマンテックのSOCでは「グローバル共通のオペレーション」が採用されている。「各国が自分たちの地域だけ見ていると解析に偏りが生じる。それを避けるため」(滝口氏)とのことだが、それにより各国のSOCの相互連携を実現していることの意味が大きい。「通常はAPJ地域の拠点が連動し、少なくとも2拠点は同時に稼働しながら、APJ地域の顧客全体を24時間365日体制でカバーしている」(同氏)。
だからこそ、APJ地域にシンガポールSOCが新設されたのは、日本にとっても意義が大きいのだ。APJ地域の拠点が増えたことで、APJ地域で起こる不測の事態により柔軟に対応できるようになる。実際、2015年12月にインド・チェンナイで発生した洪水でインドSOCが一時閉鎖した際、他地域が休日返上でフル稼働することでサービスレベルを維持した。
東京SOCも例外なく、滝口氏は飄々としながらも「この時は水害で施設に近づくこともできず、その後も停電が長引き大変な状況だった。グローバルで会議を開き、どこがどうやって臨時対応するか、1週間単位で方針を決めていた」と、その時の様子を振り返る。
Symantecは現在、SOCへの投資を拡大している。シンガポールSOCの開設に加え、世界中で人員を拡充する方針だ。インド・チェンナイでは100名から200名に倍増させ、東京SOCも12名から40名に拡充する計画という。
年金問題の時に問い合わせは急増し、2016年からはマイナンバー制度も施行される。取材時(2015年12月初旬)も「今現在、あやしいビーコンが発生している。大手企業も含め多数の企業で検出されており、日本だけでなくグローバルで同様の状況。それが黒か白かはまだハッキリわからないのだが、もしかしたら世界的に何かセキュリティインシデントが発生しているかもしれないと、現在慎重かつ速やかに調査を進めている」(滝口氏)とのことだった。
セキュリティが複雑化する中で、製品技術だけで防御できる時代はもはや過ぎ去った。今は攻撃側も防御側も組織化され、知恵を絞り合うような時代だ。そんな「サイバー戦争」で中心となるのは「人」でしかありえない。SymantecがCSSに注力することからも、改めてそう感じられる。
SOCの役割はますます大きくなっていく。「我々が一番緊張するのは、セキュリティイベントについて、その危険性を黒か白かで決定する瞬間だ。操作としては画面上でボタンを押すだけだが、その一押しに、世界レベルのインシデントを抑えられるか否かが懸かることもある」(滝口氏)。そうやって日々SOCは運用されているのだ。
