核攻撃ニモマケズ？ Symantecの英SOCは“核シェルター”（2/2 ページ）

[堀哲也，ITmedia]

950万ログから重要度の高いイベントを割り出す

　MSSは、セキュリティ機器の監視や管理をアウトソーシングサービスだ。企業のファイアウォールやIDSが吐き出す膨大なログの中から、セキュリティインシデントが起こっていないか、を監視する。企業のIT部門だけでは、セキュリティデバイスが吐き出すログの多さから、実際のインシデントを特定するのは難しい。

EMEAセキュリティエンジニアリングマネジャーのアラン・オズボーン氏（左）と、EMEAアナリストマネジャーのジム・ハート氏

　「1カ月でファイアウォールやIDSは、950万ログを吐く。専用のソフトウェアがログ同士の関連性を自動分析し、620程度のイベントにまで減らす。アナリストがさらに分析を行い、重要性の高いイベントをさらに絞り込む。その内で、実際に対処が必要なものは2つ程度になる」（オズボーン氏）

　普段は電子メールを通じて、セキュリティ上のアドバイスなどを行うが、緊急性が高ければ、電話連絡も行う。世界で600社がこのサービスを利用しているが、金融機関が最も多く、売り上げベースで約30％、監視デバイスの数で27％を金融機関が占める。

核シェルター内にあるSOCのオペレーションルーム

インターネットセキュリティ脅威レポートも

　同様のSOCは、英トワイフォードのほか、米アレキサンドリア、独ミュンヘン、オーストラリアのシドニーに設置されている。これらのSOCが連携することで、顧客企業のネットワークを監視する。

　各SOCのアナリストは、インターネット上に設置された2万センサーの「グローバルインテリジェントネットワーク」を通じて、セキュリティのトレンドも分析する。これらは「Deepsite Threat Management System」を通じて、詳細な報告として提供される。同社が半年に一回まとめる「インターネットセキュリティ脅威レポート」も彼らアナリストがまとめたものだ。

　アナリストたちは、インスタントメッセージ（IM）や社内イントラネットの掲示板などを通じて、情報をやり取りするほか、スキルを磨くため積極的に意見交換を行っているという。「SOCにとっては、スタッフのスキルと経験が命だ」（EMEAアナリストマネジャーのジム・ハート氏）。