企業ネットワークを防衛する最前線、IBMのセキュリティ監視センター

企業からの委託を受けて不正侵入などの脅威からネットワークを24時間体制で監視、保護するのが「セキュリティ運用監視センター(SOC)」だ。IBMが世界9カ所に展開するSOCの一つ、日本のSOCを公開してくれた。

» 2009年12月19日 08時15分 公開
[國谷武史,ITmedia]

 企業の情報システムを支えるネットワークは、常に不正アクセスをはじめとするさまざまな脅威にさらされている。企業自身がこうした脅威を監視し続けようとすれば、人的、コスト的な要因も含めて相当な負担を強いられるだろう。このため、企業から委託を受けてネットワークを24時間体制で監視、保護するセキュリティマネージドサービスが活用されている。

 セキュリティマネージドサービスは、通信事業者やシステムサービス会社、セキュリティ会社などによって国内外で提供されている。各社では「Security Operation Center(SOC)」と呼ばれる監視センターで、ユーザー企業のネットワークに設置した機器の状況を監視する。不正アクセスなどの脅威の発生をリアルタイムに監視し、特に警戒度の高い事象が見つかれば、SOCの専門家が企業の担当者と連携しながら対処していくという仕組みだ。

 米IBMはグローバルで受託監視サービスを提供しており、世界9カ所に展開するSOCの1つを日本にも設置している。このほど日本IBMが都内にあるSOCを公開してくれた。

 IBMでは1995年に最初のSOCを米国アトランタに開設した。その後、2006年に買収したInternet Security Systems(現在のISS事業部)のSOCも統合し、現在は米国内4カ所とベルギー、アルゼンチン、インド、オーストラリア、日本にSOCがある。日本のSOCは旧ISSが2000年に開設したものだ。

 SOCではユーザー企業に設置しているIDS(不正侵入検知)やIPS(不正侵入防止)、ファイアウォールなどの機器が出力するさまざまなイベント情報を収集して、エンジニアが解析して異常を監視する。IBMでは世界全体で3700社以上から監視業務を受託しており、監視対象機器は約3万台。分析するイベントログは1日当たり25〜50億件になる。

 SOCで収集した情報は同社のセキュリティ研究部門「X-FORCE」とも共有し、分析リポートの発行やセキュリティ製品およびサービスの開発などに役立てているという。

 SOC内では顧客企業の実際のネットワーク状態をリアルタイムに監視しているため、通常はSOC担当者以外の一般社員の入室が一切許されないほど、厳しい管理体制が敷かれている。

日本IBM ISS事業部が運営する日本のSOC。企業ごとの状況は担当者のモニターで監視しており、大規模な不正アクセスなどの事象があった場合はメインモニターにグラフやログ内容などを表示し、各担当者が全体状況を把握できるようにしている

 日本のSOC担当者は約30人で、2交代制で24時間の監視にあたっている。世界各地のSOCがそれぞれに提供する内容は若干異なるが、日本では異常の検知や解析、詳細分析顧客対応、リポーティングまでのサービスの大半を提供できる人材を抱えており、高度な解析が必要な場合は米国などのSOCと連携することも多いという。

 IBMによれば、特にグローバル展開する企業では拠点ごとの活動時間帯が異なるために、各地のSOCが業務を引き継ぐことで24時間の監視を継続できる。また、拠点単位でのこまかい対応や多言語対応ができる特徴もあるという。

 国内のSOCは主に国内企業のネットワーク監視業務を手掛けているが、英語での対応を希望するような企業の監視業務は、オーストラリアのブリスベンにあるSOCで対応するような場合がある。国内での監視対象規模は公表していないが、2000年のサービス開始から現在も増え続けているとのことである。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ