被害が相次ぐサイバー攻撃から自社のビジネスや顧客、信用を守るために、企業はさまざまなセキュリティ製品を組み合わせた多層防御に力を入れている。

　しかし、多層防御の構成要素が拡張される反面で、セキュリティ機器を運用・管理する上でのログ監視や解析、メンテナンス等が、企業のセキュリティ担当者の負荷となって重くのしかかっており、セキュリティ製品を導入したものの、その効果を十分に発揮できていないといったことも少なくない。

　また、巧妙化するサイバーセキュリティに対抗するためのセキュリティの有識者が、不足しており深刻な課題となっている。

　そこで、セキュリティ担当者に向けて、導入したセキュリティ製品の効果を最大限に発揮し、セキュリティ担当者のセキュリティ機器監視やメンテナンスにかかる負担を軽減する方法について解説します。

▼ 目次
・増大するセキュリティ運用の負荷を軽減するための突破項口
・導入したセキュリティ製品の効果を最大限に得るための方法

1. 増大するセキュリティ運用の負荷を軽減するための突破口

　年々巧妙さを増すサイバー攻撃から自社システムを守るために、企業は様々なセキュリティ対策製品を組み合わせて多層防御を整備してきた。

　脅威の侵入を防いで被害を最小限に抑える上では、多層防御の仕組みが重要であることは自明であるが、不正アクセスを防ぐためにファイアウォールやIDS/IPS、UTM を、マルウェアからPC を保護するためにウイルス対策ソフトやEDR 製品をといった具合に、セキュリティ機器やツールを増やし続けていけば、やがては運用負荷がセキュリティ担当者のキャパシティを超えるといった深刻な課題を招く。

　また、導入したセキュリティ機器が発するイベントログやアラートを適切に読み解き、最新の脅威情報と照らし合わせ、本当に対処すべき危険な兆候を絞り込むためには、専門的なセキュリティスキルと経験を備えた人材と、それなりの設備が必要になる。

　さらに、セキュリティ製品そのものに存在する脆弱性を狙われないようにするために、導入した機器のメンテナンス作業も怠るわけにはいかない。
　こうした課題を抱える企業からは、下記のような悩みを寄せられることが多い。

• セキュリティ製品の効果を最大限に発揮させたいが、人的リソースに余裕がない
• 高度化するセキュリティ製品を理解し、運用するのが困難だ

　サイバー攻撃はいつ何時に発生するか予想できないうえに、24時間365日、専門的な知識を備えた人材によって多層防御システムが運用・管理されていなければ、導入したセキュリティ製品の効果を最大限に発揮することは難しい。

　そこで、伊藤忠テクノソリューションズ（以下、CTC）は上述した企業の課題に応えるべく、セキュリティ機器を遠隔から24時間365日体制で監視する「CTCセキュリティ・オペレーション・センター」（以下、CTC-SOC）をマネージドセキュリティサービス（CTC-MSS）として提供している。

　CTC-MSSとは、CTC-SOCによるセキュリティ監視、機器の設定変更やアップデート等のメンテナンス対応だけでなく、平時の運用や緊急時の対応などを一元的に行う総合的なマネージド・セキュリティ・サービスの名称である。

2. 導入したセキュリティ製品の効果を最大限に得るための方法

　防災・防犯対策を備えたCTCのデータセンター内に設置された「CTC-SOC」では、24時間365日リアルタイムにファイアウォールやIPSといったセキュリティ機器を監視し、収集した情報をもとに脅威分析や深刻度に応じた通知を行う。

　では、CTC-SOCを構成する2つの柱から解説したい。

• セキュリティ担当者の負担を軽減するCTC-SOCの「標準監視」
• 機器の障害対応やアップデートまでを含むCTC-SOCの「デバイス監視」

2-1. セキュリティ担当者の負担を軽減するCTC-SOCの「標準監視」

　サイバーセキュリティの監視サービスであるCTC-SOCは、顧客のオンプレミス環境やクラウドに導入されたセキュリティ製品から発せられる検知ログやアラートを、専任のセキュリティアナリストが24時間365日体制で監視する。

　セキュリティ機器が発するログが深刻度に応じて企業のセキュリティ担当者に通知されるため、セキュリティ監視・運用担当者の負担を大幅に軽減できる。

　下記は、セキュリティ監視・運用担当者へのセキュリティインシデントの通知フローイメージだ。

1. CTC-MSSのログ解析システムが、セキュリティ機器のログをふるいにかける
2. CTC-SOCのセキュリティアナリストが、ログを解析
3. CTC-SOCのセキュリティアナリストが、ログの深刻度や危険度を4 段階にレベル分けしてセキュリティ担当者に通知し、対応を促す

　例えば、セキュリティインシデントを発見・検知したCTC-SOCのセキュリティアナリストが、下記を15分以内に企業のセキュリティ監視・運用担当者へ電話またはメールで通知する。

• セキュリティインシデント内容
• マルウェアに感染した端末が不正なサイトと通信している、或いは生じる恐れがある
• Web サイトが外部からの不正アクセスを受けている、或いは生じる恐れがある
• セキュリティインシデントの深刻度・危険度
• 最も高いレベルのインシデント

　これを受け取って迅速に対処すれば、重要なサーバに侵害が拡大し、情報を盗み取られるといった最悪の事態を食い止めることができる。

　逆に、セキュリティ機器が「深刻度・高」としてアラートを上げてきても、顧客システムでパッチが適用されており、CTC-SOCのセキュリティアナリストによって実害がないと判断されたものについては、危険度が低いインシデントと分類し、経過観察扱いにする。

　CTC-SOCのセキュリティアナリストの対応により、企業のセキュリティ監視・運用担当者に負担が大幅に軽減される。

　オプションサービスも用意している。

• カスタムレポート
• 顧客それぞれの傾向を分析して月次でまとめる
• インシデントハンドリング初動対応サービス
• インシデント検知から対応までを一気通貫でサポートする
• セキュリティログの長期保管
• セキュリティ報告会

　なかでも特筆すべきは「インシデントハンドリング初動サービス」だ。

　CTC-SOCが検知したインシデントを、インシデントハンドリングチームがリモートから顧客システムの被害状況と有無を調査する。

　インシデントが発生していることが判明した場合は、一次対処として被害が発生しているシステムを隔離する。

　その後、インシデントハンドリングチームが顧客のセキュリティ担当者にインシデントへの対応手順を提示し、顧客によるインシデント対応につなげるものだ。

2-2. 機器の障害対応やアップデートまで含むCTC-SOCの「デバイス監視」

　CTC-SOCの「デバイス監視」は、下記を提供するサービスだ。

• 企業に導入されたUTMやWAFといったセキュリティ機器の稼働状況を定期的に監視する
• セキュリティ機器で障害が発生した場合には問題を切り分け、機器交換が必要な場合にはCTC-SOCが同社のサポート部隊と連携してオンサイトでの対応する
• CTC-SOCが通知したインシデントをトリガーにして「特定のIP アドレスからの通信を遮断」するといった、さまざまなオペレーションの実行
• セキュリティ機器の設定変更を代行
• 監視対象機器の設定を3世代分までバックアップ・管理し、万一障害や故障が発生した場合には速やかにリカバリ
• 攻撃を検知する「定義ファイル」のアップデート作業
• セキュリティ機器のファームウェアのバージョンアップの代行

　なかでも特筆すべきは「セキュリティ機器のファームウェアのバージョンアップの代行」である。

　機器を導入した後、定義ファイルが最新の状態でなければ攻撃がすり抜けてしまう恐れがあるが、セキュリティ機器のファームウェアのバージョンアップを代行するサービスが含まれているため、こうしたリスクを最小限にすることができる。

　機器自体の脆弱性を速やかに修正することで、セキュリティ機器自体が不正アクセスの足がかりになる事態も避けることができるだろう。


　単なるセキュリティログの監視サービスはよくあるが、こうした一歩踏み込んだ幅広い運用支援まで含めて提供するサービスとなると貴重な存在だ。

　これらを実現できるのは、長年にわたって多様なネットワークセキュリティ製品の販売代理店として活動し、深い製品の知見とノウハウを持つCTCならではの特長と言えるだろう。

さいごに

　ルータやスイッチに比べセキュリティ製品は複雑で、設定一つで大規模なサービス障害を起こしかねない。

　CTC-SOCは過去の豊富な経験と製品知識に裏打ちされた下記のメニューを通して、安全かつ安定したセキュリティ運用を支援していく。

• セキュリティ担当者の負担を軽減する「標準監視」

• 機器の障害対応やアップデートまでを含む「デバイス監視」

　CTC-SOCでは今後も、IT 環境や顧客のニーズに合わせ、監視対象を拡大する計画だ。

　クラウドベースのエンドポイント保護もメニューに追加し、境界型防御からゼロトラストセキュリティに移行する企業も支援し、運用負荷を減らしていく。