見えなかった脅威をあぶり出すマネージドセキュリティサービスの最前線：Maker's Voice

多発する標的型サイバー攻撃など、セキュリティの脅威が深刻さを増す中、セキュリティシステムでの監視や運用をサポートするマネージドセキュリティサービスでは新たな取り組みが進んでいる。

[國谷武史，ITmedia]

マネージドセキュリティサービス推進室 担当部長の竹内文孝氏

　企業・組織に対する標的型サイバー攻撃やDoS（サービス妨害）攻撃などの脅威が深刻さを増す中、セキュリティ対策システムの運用を支援する「マネージドセキュリティサービス（MSS）」が注目を集めている。MSSにおける取り組みをNTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室 担当部長の竹内文孝氏に聞いた。

　これまでMSSは、主にファイアウォールやIPS/IDS（不正侵入検知・防御システム）などのネットワークセキュリティ機器による不正アクセスの監視、運用、インシデント対応などを、MSS事業者が運営する「セキュリティオペレーションセンター（SOC）」を中核として提供されてきた。

　セキュリティの脅威は、ウイルス対策ソフトの定義ファイルやIPSのシグネチャなどで検出可能な「既知の脅威」と、それらでは検出が困難な「未知の脅威」に大別される。竹内氏によれば、近年は未知の脅威が増え、未知の脅威がシステムに侵入することを前提にした対策が必要という。

　未知の脅威対策として近年、「セキュリティイベント情報管理（SIEM）」も注目されている。SIEMではシステムが出力する多種多様なログを一元的に集めて、それぞれの相関をサイバー攻撃手法などの特徴から分析する。分析結果から脅威と思われる兆候を見つけ、さらに詳細分析する。こうして脅威の全体像をある程度可視化し、マルウェアの駆除や情報漏えいなどの被害把握、被害拡大の防止などの対応が可能になる。

　だが、クラウド環境やモバイル端末の普及から、監視対象のシステムがLANの外側にも広がっている。大量のログから脅威の兆候を見つけ出すには、それを処理できる能力を持ったシステムと、脅威に関する高度な知見や経験を持った人材が必要とされ、ユーザー自身がこれを行うのは難しい。このためNTTコミュニケーションズは、3月から標的型攻撃などセキュリティリスクの検知・分析機能を強化したSIEMを独自開発、導入し、「総合リスクマネジメントサービス」の提供を始めた。

　同社のサービスでは上述のプロセスを基本に、独自のセキュリティ情報や手法を加え、専任のリスク分析官が24時間体制で、顧客企業で発生した深刻なセキュリティインシデントの対応にあたるという。

NTTコミュニケーションズのセキュリティオペレーションセンター

　例えば、定義ファイルで発見できない「未知のマルウェア」の検出では、不審な通信の発生といった振る舞いから兆候を探るプロファイリングと、サンドボックスでのファイル検査を実施。一定時間を遡ってログやイベントの相関分析からマルウェアの稼働を解析する「通信相関時系列分析エンジン」や、マルウェアに感染したコンピュータがアクセスする攻撃者サーバをチェックする「ブラックリスト共起分析エンジン」を使って、マルウェアを特定し、ブラックリストを更新していく。こうした分析の仕組みが「SIEM基盤」となる。

　また今後、同社や同社グループの海外セキュリティ企業のIntegrarisおよびSecodeのSOCを改変し、設立される「グローバルリスクオペレーションセンター」が分析作業やサポート対応の中枢を担う。顧客企業のシステムはグローバルリスクオペレーションセンターで常時監視し一次対応にあたり、より深刻なインシデントの分析はマレーシアのセンターが一元的に対応する。さらに高度な分析やインシデント全般への対応、SIEM分析ルールの変更などは日米欧の3拠点で行う。グローバルリスクオペレーションセンターは、NTTセキュアプラットフォーム研究所やセキュリティベンダーの調査・分析部門などとも連携して、脅威に関する情報をグローバルで随時共有できる体制も構築している。

総合リスクマネジメントサービスにおけるSIEM

　同社では既にSOCを10年近く運用しており、セキュリティイベントの対応に関する膨大なノウハウを持つほか、欧米を中心にSOCを20年近く運用しているINTEGRALIS/SECODE（NTT Comのグループ会社）のログ分析技術を融合し、一体的なサービス体制を実現しているという。竹内氏は、サービスの提供で「誤検知によるトラブルが無いよう、潜在的なリスクを正確に可視化することに努めている」と強調している。