| エンタープライズ:ニュース | 2003/03/12 13:51:00 更新 |
ISSのセキュリティ監視センター、「SendmailのExploitに対する準備はできている」
インターネット セキュリティ システムズは、東京本社内に設置しているセキュリティ監視センター(SOC)を報道陣向けに公開した。このSOCは、同社が提供するマネージドセキュリティサービスの基盤として、24時間体制で稼働している。
インターネット セキュリティ システムズ(ISS)は3月11日、「RealSecure BlackICE PC Protection」のリリースに合わせ、東京本社内に設置しているセキュリティ監視センター(SOC)を報道陣向けに公開した。
ISSの東京SOCは、同社が提供する「マネージドセキュリティサービス」の拠点として、24時間365日体制で活動している。このマネージドセキュリティサービスは、ファイアウォールやVPN、侵入検知システム(IDS)、ウイルス対策システムといったセキュリティシステムを、顧客に代わってリモートから監視・管理するものだ。何か不穏な動きが見られた場合には、契約内容にもよるが、SOC側で迅速に対処を行いシステムへの被害を防ぐようになっており、約1000社が同サービスを受けているという。
SOC内部。各タスクの進捗状況や担当者などの情報は、独自のチケットシステムを通じて共有される
ISSのマネージド セキュリティ サービス部長兼プロフェッショナルサービス部長の徳田敏文氏によると、東京SOCでは常時5〜6名体制で運用を行っている。運用監視では基本ツールとも言える「MRTG」によってトラフィックの推移を把握するのはもちろん、ファイアウォール/IDSなどのログを基にネットワーク状況を監視し、何らかの対応が必要となれば、所定の手続きに沿って作業を行う仕組みだ。
システム的な対策だけでなく、ヒューマンエラーの防止を目的に、運用手続きにも配慮している。例えば何らかの設定変更を行う場合、1人のエンジニアで作業を完結させるのではなく、必ず複数名が関わるようにし、相互チェック機能を働かせるようにしているそうだ。さらに「アナログ的な手法だが、紙のチェックリストを作り、これを用いて作業を確認するようにしている」(徳田氏)。また、別組織である監査部によって、オペレーションフローのチェックを行うこともあるという。
GTOCとX-Forceの両輪
ISSでは、東京を含む全世界5カ国6拠点にSOCを設置している。これらSOCどうしが情報を共有し、連携して運用を行うことにより、「VSOC(Virtual Security Operations Center)」、つまり実質的に全世界をカバーできるSOCを形作っているという。
また、各SOCが収集した攻撃に関する情報は、米国・アトランタに設置された「GTOC(Global Threat Operations Center)」に集約される。SOCが監視する数多くのファイアウォールやIDSから収集された情報は、GTOCで分析され、その結果がまたSOCにフィードバックされる仕組みだ。GTOCでは同時に、脅威の深刻性に応じて4段階の警告「AlertCon」を示している。
ISSならではのもう1つの強みが、セキュリティ情報に関する研究開発チーム「X-Force」である。X-Forceは、システム脆弱性の検証やセキュリティ技術の研究などに携わるエンジニアリングチームで、これまで数多くのセキュリティホールを発見、警告してきた。マイクロソフトのInternet ExplorerやInternet Information Service、サン・マイクロシステムズのSolarisといった商用製品は言うまでもなく、BINDやApache、ごく最近の例ではSendmailといったオープンソースのソフトウェアに至るまで、インターネットで利用される主要なソフトウェアはほとんどがその対象になっている。
徳田氏は、「X-Forceによる脆弱性情報というスタティックな情報に、今いったい何が起きているかを示すGTOCのリアルタイムな分析を組み合わせることで、かなりの程度正確なオペレーションが可能になっている」と述べる。
事実、CodeRedやNimdaについては、それが深刻な影響を及ぼし始める前に動きを検知し、対処を行っていたという。Slammerも然りで、元々X-Forceでも根本原因となるセキュリティホールを検証していたことから、悪用を防ぐための準備はできていた。このため、Slammer発生直後から迅速な対処ができたという。
「X-Forceは先日、Sendmailのセキュリティホールについて警告を発した。Slammerが悪用したSQL Serverのセキュリティホールが半年以上前に発見されていたことを考えると、今後数カ月の間に、Sendmailのこのセキュリティホールを狙った何らかの攻撃が登場する可能性は高い。だがSOCでは既に、そうした事態に対する準備は整えている」(徳田氏)。
ちなみに、この1週間ほどの間に増加を見せているのが、TCP/445へのポートスキャンだ。この原因はおそらく、「Deloder」と呼ばれるワームだという。「単純な組み合わせのパスワード、数十種類について、ブルートフォース(総当り攻撃)的に試すだけなので、それほど大きな脅威ではない」と徳田氏。ただこれは、SOCの管理下にあるような、一定の強度を持ったパスワードを、それも定期的に変更しながら運用しているシステムにのみ当てはまること。安易なパスワードを設定している、あるいはパスワードを空白のまま運用しているシステムでは注意が必要だ。
関連リンク
インターネット セキュリティ システムズ[高橋睦美,ITmedia]
