3月8日、インターネットイニシアティブ(IIJ)はセキュリティのインシデントを管理する新しいセキュリティオペレーションセンター(SOC)を報道陣に公開した。高度化する脅威に対して一元的に対応できる場所を社内に設けることで、いち早いインシデント対応や情報の提供を目指す。
高度化する脅威に対抗すべく専門設備を用意
見学会は、IIJセキュリティ本部 本部長の齋藤衛氏によるブリーフィングからスタート。IIJのセキュリティ事業と今回のSOCのコンセプトが説明された。
1992年に国内初のISPとして創業されたIIJは、セキュリティサービスに関しても長らくイニシアティブをとってきたという。1994年には国内初のファイアウォールサービスを提供し、それ以降はWebアクセス管理やスパムメール、DDoS攻撃への対策を次々とサービス化。また、2008年からはインターネット上での脅威に対する考察を冊子化した「IIR(Internet Infrastracture Review)」を発行し、情報提供にも注力してきた。2016年にはこれまで社内に分散していた人材やシステムを集約し、セキュリティ事業を強化。新たに「wizSafe(ウィズセーフ)」という事業ブランドを掲げ、サービスを展開している。
サービスの拡大とともにセキュリティ対策も多様化しており、IIJはこれまで案件ごとに専門の部屋を設けてSOCとして利用してきた。しかし、昨今高度化する脅威に対抗するため、専用設備を設置する必要が出てきたという。
こうした背景で作られたIIJの新SOCでは、マルウェアなどリスクの高い分析を行なうために社内とは独立したネットワークを敷設。さらにフォレンジックの分析結果やユーザーから預かった証拠品を保護するための専門のキャビネットまで用意した。また、複雑化・高度化した脅威を監視し続けるため、エンジニアが作業に集中できる環境を整えたほか、同時多発的・高度なインシデントに対処するためのコラボレーションしやすさも意識したという。「エンジニア同士が目と目で会話ができるよう、パーティションをあえて低くした」(齋藤 衛氏)。
SOCは大きくビッグデータ解析やインシデント対応を行なうオペレーションルームと、証拠品の管理や検体の解析などを行なうラボスペースに分かれており、それぞれは生体認証やIDカードで出入りが制限されている。席数は約40で、ローテーションを組みながら100名規模で対応を行なっているという。「今まではあまり見栄えもよくなかったので、お客様に見せたこともない」(齋藤氏)という状態だったが、今回は色温度を調整した照明や木目のファブリックを採用し、デザイン面にも意識したという。
膨大なデータを収集する情報分析基盤も整備
ISPならではの情報を活用した情報分析基盤も整備した。現在、IIJではバックボーンのトラフィックやDNSクエリなどISPならではの情報や、ファイアウォールやIPS/IDS、メール、DDoS対策などのIIJセキュリティサービスの情報に加え、IIJ独自調査・研究で得られた情報などを収集している。Webアクセスログが900億行/月、メールアクセスログが38億行/月、セキュリティ機器のログが1700億行/月など量も膨大で、まさにビッグデータ。これらをホワイトペーパーや脅威、事故事例などの公開情報とあわせて、情報分析基盤でデータ分析している。
収集したデータは機械学習やSOCチームによる分析を経て、攻撃元のレピュテーション、攻撃に備えるための指針情報、脅威情報や攻撃トレンドなどのセキュリティインテリジェンスとして、IIJの通信サービスの防御やユーザー企業との協調防御に活かしている。また、セキュリティアナリストの知見を元にインシデント検知やユーザーへの通知、対策案の提示、IIJ運用機器に対する対応までをワンストップで提供する「IIJ C-SOCサービス」にも活かされるという。最近では、サーバー側にデータを送付しながらも、アンチウイルスで駆除できないPUA(Potentially Unwanted Application)が問題となっているが、こうしたソフトの脅威情報や対策もユーザーに提供。セキュリティ運用の軽減に寄与しているという。