ニュース
2004/03/19 14:52 更新


インターネットセキュリティの最前線、米Symantec最大のセキュリティオペレーションセンター

「ドアと監視カメラを見張っているガードマンのようなものさ」とSOCのビンセント氏は簡単に語るが、コンピュータセキュリティの最前線はNASAさながらのルームで、セキュリティアナリストたちが1日4億件ものアラートを分析している。

 ポトマック川を隔ててアメリカ合衆国首都ワシントンD.C.を望めるバージニア州アレクサンドリア。車で20分も走ればワシントンD.C.ということもあり、歴史的にはタバコの積出港として栄えた古き街も、今は連邦政府や政府関連事業に勤める人たちのベッドタウンと化している。

 アレクサンドリアの市街から北へ車に揺られること10分。米Symentecは、ここに最大級のマネージドセキュリティサービス拠点、セキュリティオペレーションセンター(SOC)を構えている。

SOC

Symantecが全世界6カ所に設けているSOC。その中でも最大規模のものがアレクサンドリアにある。ペンタゴンからもそれほど離れていない


 2002年7月、Symantecは3社の情報セキュリティ企業を買収した。その中で1億4500万ドルと最大の買収となったのが、マネージドセキュリティサービスを提供するRiptechだった。国防総省コンピュータ緊急対応チーム出身のアミット・ヨーラン氏が設立たことで知られ、官民で経験を買われた同氏は昨年ブッシュ政権の国家サイバーセキュリティ部門の責任者にも指名された。そのRiptechの施設が現在、Symantecのマネージドセキュリティサービスの最大拠点として活躍している。SOCに勤めるSymentecのトニー・ビンセント氏(グローバルセキュリティアーキテクト)は、「GatnerとYankee Groupがマネージドセキュリティのリーダーの位置にいると評価している」と胸を張る。

 マネージドセキュリティサービスとは、企業が持つファイアウォールやIDSといったセキュリティ機器が吐き出すログデータを監視、解析してくれるアウトソーシングサービス。企業のセキュリティ担当者が膨大なログに溺れることなく、24時間体制のセキュリティ分析や早期警告、攻撃直後のすばやい対応を可能にする。「コンピュータセキュリティ=リスク管理」ということに気がつき始めた企業が近年、積極的に利用しだした。Symantecは顧客に関する情報をほとんど公開していないが、金融業をはじめ数百の企業にこのサービスを提供しているという。

 「ドアと監視カメラを見張っているガードマンのようなものさ」とビンセント氏。ログから検出される攻撃要素から、専門のセキュリティアナリストが一つの攻撃傾向を情報としてまとめ、24時間体制で被害を最小限にするための具体的な対策を提供する。セキュリティ侵害による被害が生産性に直接影響することに気づきだした企業は、この種のサービスを利用することで、米国企業は自社のセキュリティ担当者をポリシーの作成や計画立案といったより戦略的な仕事へと向かわせようとする流れにある。

 「個々の攻撃に対する情報だけでなく、企業にとってどのような影響をもたらすのか戦略的な情報を提供できるサービスはSymantecしかない。マネージドセキュリティサービスはこのような方向に流れていくはずだ」(ビンセント氏)。

NASAさながら、SOCの中心部へ

 ビンセント氏に導かれSOCの中心部に。ICカードキーと暗証番号入力、手のひら認証の3つをクリアすることで、初めてSOCへの入り口の扉が開く。SOCの運用ルームに入るには、さらに2つの扉で同様の認証を行わなければならない。これらの扉はセキュリティ上一度に1つ以上を開けない仕組みだ。

SOC中心部

セキュリティは厳重だが、SOCの中枢は意外とラフな感じのアナリストたちがシフト制で勤務する


 SOCに入って目に飛び込む景色は、NASAのオペレーティングセンターさながら。100インチの巨大リアプロジェクションディスプレイが前面に3面配備され、中央のディスプレイでは巨大な地球儀が回転。10人程度のアナリストたちが、常時コンピュータに向かい顧客のデバイスの監視している。

 「攻撃元のコンピュータのトップ1位は常に米国となっている」と、ビンセント氏は正面に映し出された地球儀を示して説明する。地球儀は攻撃元トップ10をジオメトリック的に映し出し、リアルタイムにアナリストたちに状況を伝えるためのものだという。左右には、それぞれトークンによる認証を必要とする電話システムの状況、顧客のセキュリティ機器の状態を映し出している。

 興味深いのはCNN、BBCなど24時間ニュースチャンネルを運用ルーム内にながしている点。「現実世界とサイバーの世界は常にリンクしている」からだという。運用ルームで働いていたアナリストの一人は、常に情報を把握することが大切と話す。ポロシャツに身を包むラフないでたちの彼はまだ25歳、とアナリストとしては若い印象も受けるが、ハッキング能力も持ち、セキュリティアナリストとしてのトレーニングを積んだエキスパート。「6週間に一度、トレーニングを受ける仕組みで、常に最新の情報と知識で武装している」(ビンセント氏)。アナリストたちの質の高さもSymantecの強さの一面だ。

 SOCが受ける1日の平均アラートは4億件。そのうち攻撃要素とされるのは25万〜60万件、潜在的な攻撃の可能性は1万2000〜1万4000件程度という。アレクサンドリアのSOCが監視する限り「攻撃を受けていないときはない状況だ」(同氏)。ワシントンD.C.に拠点を持つ地銀では、ファイアウォールとIDS一台ずつでも1カ月に950万アラートが発せられており、すでに人間の手に負えない状況になっている。この膨大な数字を前にすると、マネージドセキュリティサービスの必要性が見えてくる。

関連記事
▼米政府、サイバーセキュリティ責任者任命

関連リンク
▼Symantec

[堀 哲也,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.