核攻撃ニモマケズ? Symantecの英SOCは“核シェルター”(2/2 ページ)
緑の深い英国の農村に作られた掩ぺい壕。かつては30人が60日間生活できる核シェルターだった。しかし、いまはSymantecのSOCとして機能している。
950万ログから重要度の高いイベントを割り出す
MSSは、セキュリティ機器の監視や管理をアウトソーシングサービスだ。企業のファイアウォールやIDSが吐き出す膨大なログの中から、セキュリティインシデントが起こっていないか、を監視する。企業のIT部門だけでは、セキュリティデバイスが吐き出すログの多さから、実際のインシデントを特定するのは難しい。
「1カ月でファイアウォールやIDSは、950万ログを吐く。専用のソフトウェアがログ同士の関連性を自動分析し、620程度のイベントにまで減らす。アナリストがさらに分析を行い、重要性の高いイベントをさらに絞り込む。その内で、実際に対処が必要なものは2つ程度になる」(オズボーン氏)
普段は電子メールを通じて、セキュリティ上のアドバイスなどを行うが、緊急性が高ければ、電話連絡も行う。世界で600社がこのサービスを利用しているが、金融機関が最も多く、売り上げベースで約30%、監視デバイスの数で27%を金融機関が占める。
インターネットセキュリティ脅威レポートも
同様のSOCは、英トワイフォードのほか、米アレキサンドリア、独ミュンヘン、オーストラリアのシドニーに設置されている。これらのSOCが連携することで、顧客企業のネットワークを監視する。
各SOCのアナリストは、インターネット上に設置された2万センサーの「グローバルインテリジェントネットワーク」を通じて、セキュリティのトレンドも分析する。これらは「Deepsite Threat Management System」を通じて、詳細な報告として提供される。同社が半年に一回まとめる「インターネットセキュリティ脅威レポート」も彼らアナリストがまとめたものだ。
アナリストたちは、インスタントメッセージ(IM)や社内イントラネットの掲示板などを通じて、情報をやり取りするほか、スキルを磨くため積極的に意見交換を行っているという。「SOCにとっては、スタッフのスキルと経験が命だ」(EMEAアナリストマネジャーのジム・ハート氏)。
関連記事
- ハッカーを超えるアイデアを考えること――20代ウイルス解析エンジニアのやりがい
キャンディッド・ウェスト氏はSymantec Security Responseのウイルス解析エンジニアになって3年。やりがいは「ハッカーを超えるアイデアを考えることだ」という。 - 変わる脅威、変わるセキュリティレスポンス
アイルランドの首都ダブリン――Symantecはウイルス解析や定義ファイル作成を行うSecurity Responseを設置している。世界3カ所あるSecurity Responseの中でも最大規模の施設を訪ねた。 - インターネットセキュリティの最前線、米Symantec最大のセキュリティオペレーションセンター
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.