技術・機能解説、ノウハウ|セキュリティ監視・運用・診断
北米最新動向に学ぶセキュリティの課題と解決策
業種業界を問わず世界中でセキュリティ被害は増大し、脅威はとどまるところを知らない。
北米でも政府機関や大学が攻撃され、日本でも金融機関や各企業へのサイバー攻撃は激しさを増している。
こうした脅威に対して、北米ではMSSP(Managed Security Service Provider)によるセキュリティ運用サービスが広がっている。
北米だけでも300社を超えるMSSPがあり、その上位10社の中にはAT&T CybersecurityやAccenture、IBM Managed Security Servicesといった大手企業にスタートアップ企業なども名を連ねている。
MSSP市場は向こう5年間で年8%の成長が見込まれ、増加するサイバー攻撃への有効な手段として注目を集めている。
一方で、採用する企業の側にはサービス内容による課題もある。
MSSPの顧客ニーズと課題の間にあるギャップへの解決策について、伊藤忠テクノソリューションズ(以下、CTC)マネージドセキュリティサービス部 課長 池田薫明が解説する。尚、解説動画は以下よりご覧いただくことができる
画像をクリックするとYouTubeが起動します
▼目次
・MSSP提供サービスから垣間見えるユーザー側の課題
・CTCのマネージドセキュリティサービス「CTC-MSS」
・セキュリティインシデント監視「CTC-SOC」
・セキュリティインシデントハンドリング初動対応「CTC-IH」
1. MSSP提供サービスから垣間見えるユーザー側の課題
池田はMSSPの提供するサービスとMSSPを活用するメリットを図1のように整理する。
図 1. 提供サービスから見るユーザー側の課題
これらのサービスが提供されている背景として、池田は組織の課題を4点指摘する。
- セキュリティインシデントに対応する組織・役割がない
- セキュリティインシデントが発生しても、緊急度や優先度を判断する体制がない
- セキュリティインシデントに対応するための専門的なスキル・ナレッジがない
- セキュリティ人材がいない
加えて設備面での課題としてはサイバー攻撃を検知できる高度な設備がない、24時間365日の体制で監視できない、セキュリティアラートが多くて攻撃の予兆が読めないといった項目があげられる。
これらの課題をMSSPは、セキュリティサービスとして提供し、図1に示された「高い保護能力」など6つのメリットを提供している。
- 高い保護能力を持っている
- 定常的な監視サービスを提供
- 豊富なセキュリティ専門家を抱えている
- カスタマイズ可能なソリューション提供
- 信頼のおけるサポートを提供
- コストの節約に寄与
上記を加味して、豊富なセキュリティ知見を持つ事業者にアウトソースし適切に且つ安全に、自分たちに代わり運用をして欲しいとうニーズがあり、これはManaged Security Service(MSS)を利用することで 課題の解決策なると考えられる。
2. CTCのマネージドセキュリティサービス「CTC-MSS」
CTCでは20年以上にわたりシステムを熟知したSIerとして、顧客のITニーズに則したテクノロジーやサービスを総合的に提供している。
その実績をもとに「CTC-MSS」では、各種のセキュリティサービスを連携し、顧客ニーズに沿ったマネージドセキュリティサービスを提供する。
図 2. CTCのマネージドセキュリティサービス「CTC-MSS」体制
CTC-MSSはセキュリティログ監視を行う「CTC-SOC」と、セキュリティインシデントハンドリング初動対応の「CTC-IH」で構成されている。
主な運用の流れは、CTC-SOCが24時間365日の体制でアラートを監視し、セキュリティインシデントの予兆を判断する。
そしてセキュリティインシデントが発生したらCTC-IHに連絡し、詳細な調査とトリアージを行い重要なインシデントを顧客企業のCSIRT運用部門に連絡する。
インシデント通知の段階でCTC-SOCとCTC-IHが連携していると、セキュリティインシデントが検知された際にCTC-IH専任のセキュリティエンジニアがリモートで各システムを調査し、影響の可否を判断(トリアージ)する。調査結果からセキュリティ侵害が発生した可能性が高いと判断される場合には、対策の指示と被害を局限化する対応を実施する。
そして、インシデントレスポンスにおける技術アドバイザーとして顧客を支援する。
さらに、インシデントハンドリングで課題となる「セキュリティエンジニアの不足」や「セキュリティインシデントの判断をする体制の構築」も解決する。
CTC-MSSの詳細については以下よりご覧いただくことができる。
3. セキュリティインシデント監視「CTC-SOC」
CTC-SOCは24時間365日の監視体制で、サイバー攻撃をモニタリングし、セキュリティインシデントにつながる脅威を通知する。
図 3. CTC-SOC監視体制
CTC-SOCでは、収集したログに対し、SIEMによる自動分析とセキュリティアナリストによる詳細な手動分析との2段階の分析を行うことで、セキュリティインシデントの可能性を絞り込む。セキュリティインシデントはその重要度ごとに定められたサービスレベルに基づき通知される。
CTC-SOCの分析により、膨大なログから本当に対応が必要な危険な兆候を見つけ出すことが可能となる。運用者の負担軽減や運用の効率化を実現するとともに、適切なセキュリティ運用を行うことができる。
サービスメニューとして、標準監視メニュー、デバイス監視メニュー、加えて要望に応じて追加可能なオプションメニューが用意されている。
CTC-SOCは、CTC取り扱い製品を中心に幅広い製品を監視対象としてサポートしており、マルチベンダー対応を得意としている。セキュリティログ監視に加え、ベンダーとのパートナーシップや製品取り扱いの経験値を生かし、デバイス監視メニューも充実している。設定変更代行、稼働監視、ファームウェアのバージョンアップなど様々なメニューを用意している。
デバイス監視メニューにもSLAが設けられ、稼働状況監視では30分以内に、セキュリティ機能の設定変更対応では24時間以内に連絡や対応が行われる。その他にも内容に応じたSLAが用意されている。
オプションメニューでは緊急時の応急対応、ログの長期保管、カスタムレポートやセキュリティ報告会のメニューをそろえている。標準メニューでもレポートは用意されるが、オプションサービスの利用により詳細なレポーティングが可能となる。
2014年10月からサービスを開始したCTC-SOCには、数々の実績がある。
例えば、月間数十億ページビューがある総合メディアサイトにおける数百台のWebサイト監視や、AWS上に構築した個人情報を扱うキャンペーンサイト監視に、大手の金融業や製造業に自治体など実績の対象は多岐にわたる。
4. セキュリティインシデントハンドリング初動対応「CTC-IH」
様々なサイバー攻撃から守るためにセキュリティ対策製品を導入している企業は多い。
しかし、SOCの運用体制がないとアラートが形骸化して「アラートに気づかないことが最大のリスクになる」と池田は指摘する。
SOCを導入することでセキュリティアラートに対する対応工数を大幅に削減でき、運用負担も軽減できる。
しかしSOCを用意しただけではもう一つの課題が残る。
それは「SCOアラートを受けた後の対応」である。セキュリティインシデントをハンドリングする専門のセキュリティエンジニアがいなければ何を優先的に対応したらいいのか選別(トリアージ)ができない。
そこでCTCでは、企業のセキュリティ担当者の負担を軽減するためにトリアージを含めたインシデントレスポンスを提供する新しいセキュリティ運用の形を構築した。
図 4. 企業のセキュリティ担当者の負担を軽減する新しいセキュリティ運用の形
セキュリティ対応に必要な情報を的確なタイミングで企業のセキュリティ担当者に伝えることで、運用負荷と被害軽減が実現できる。
また、セキュリティインシデントの対応では、インシデントハンドリングチームがセキュリティ担当者にセキュリティ対応に必要な情報を報告するだけではなく、詳細確認やオペレーションに関する問い合わせがあれば対応する体制も提供する。
池田は、このリモートで提供されるインシデントハンドリング初動対応サービスを利用する効果として「セキュリティエンジニアの不足や、セキュリティインシデントを判断できるスキル不足を解決する」と説明する。
さいごに
セキュリティ運用、監視を外部の MSS 運用事業者にアウトソースすることで、高度なセキュリティ対策等が可能になる。
セキュリティ運用体制の整備に課題を抱えている企業は、以下よりCTC-MSSの概要をご欄いただきたい。
尚、解説資料については、以下よりご覧いただくことができる。