北米最新動向に学ぶセキュリティの課題と解決策

北米最新動向に学ぶセキュリティの課題と解決策

 業種業界を問わず世界中でセキュリティ被害は増大し、脅威はとどまるところを知らない。

 北米でも政府機関や大学が攻撃され、日本でも金融機関や各企業へのサイバー攻撃は激しさを増している。

 こうした脅威に対して、北米ではMSSP(Managed Security Service Provider)によるセキュリティ運用サービスが広がっている。

 北米だけでも300社を超えるMSSPがあり、その上位10社の中にはAT&T CybersecurityやAccenture、IBM Managed Security Servicesといった大手企業にスタートアップ企業なども名を連ねている。

 MSSP市場は向こう5年間で年8%の成長が見込まれ、増加するサイバー攻撃への有効な手段として注目を集めている。

 一方で、採用する企業の側にはサービス内容による課題もある。

 MSSPの顧客ニーズと課題の間にあるギャップへの解決策について、伊藤忠テクノソリューションズ(以下、CTC)マネージドセキュリティサービス部 課長 池田薫明が解説する。尚、解説動画は以下よりご覧いただくことができる


未来の基盤も支える、CTCのクラウド
画像をクリックするとY
ouTubeが起動します(解説資料はこちら)





▼目次
MSSP提供サービスから垣間見えるユーザー側の課題
CTCのマネージドセキュリティサービス「CTC-MSS」
・セキュリティインシデント監視「CTC-SOC」
セキュリティインシデントハンドリング初動対応「CTC-IH」





1. MSSP提供サービスから垣間見えるユーザー側の課題

 池田はMSSPの提供するサービスとMSSPを活用するメリットを図1のように整理する。


未来の基盤も支える、CTCのクラウド
図 1. 提供サービスから見るユーザー側の課題




 これらのサービスが提供されている背景として、池田は組織の課題を4点指摘する。

  • セキュリティインシデントに対応する組織・役割がない
  • セキュリティインシデントが発生しても、緊急度や優先度を判断する体制がない
  • セキュリティインシデントに対応するための専門的なスキル・ナレッジがない
  • セキュリティ人材がいない



 加えて設備面での課題としてはサイバー攻撃を検知できる高度な設備がない、24時間365日の体制で監視できない、セキュリティアラートが多くて攻撃の予兆が読めないといった項目があげられる。

 これらの課題をMSSPは、セキュリティサービスとして提供し、図1に示された「高い保護能力」など6つのメリットを提供している。

  • 高い保護能力を持っている
  • 定常的な監視サービスを提供
  • 豊富なセキュリティ専門家を抱えている
  • カスタマイズ可能なソリューション提供
  • 信頼のおけるサポートを提供
  • コストの節約に寄与



 上記を加味して、豊富なセキュリティ知見を持つ事業者にアウトソースし適切に且つ安全に、自分たちに代わり運用をして欲しいとうニーズがあり、これはManaged Security Service(MSS)を利用することで 課題の解決策なると考えられる。





2. CTCのマネージドセキュリティサービス「CTC-MSS」

 CTCでは20年以上にわたりシステムを熟知したSIerとして、顧客のITニーズに則したテクノロジーやサービスを総合的に提供している。

 その実績をもとに「CTC-MSS」では、各種のセキュリティサービスを連携し、顧客ニーズに沿ったマネージドセキュリティサービスを提供する。


未来の基盤も支える、CTCのクラウド
図 2. CTCのマネージドセキュリティサービス「CTC-MSS」体制




 CTC-MSSはセキュリティインシデント監視を行う「CTC-SOC」と、セキュリティインシデントハンドリング初動対応の「CTC-IH」で構成されている。

 主な運用の流れは、CTC-SOCが24時間365日の体制でアラートを監視し、インシデントの予兆を判断する。

 そしてインシデントが発生したらMSS-IHに連絡し、詳細な調査とトリアージを行い重要なインシデントを顧客企業のCSIRT運用部門に連絡する。


未来の基盤も支える、CTCのクラウド
図 3. セキュリティインシデント監視「CTC-SOC」




 ログの収集では顧客企業の環境とIPSec-VPNで接続し、リアルタイムにSYSLOGを受診して取り込む。

 収集した膨大なログの中から、自動分析によるスコアリングを行い、危険性のあるログを抽出する。

 抽出された危険度の高いログは、アナリストによる詳細な手動分析により、インシデントの可能性を絞り込む。

 インシデントが検知されたらその内容を迅速かつ明瞭に電話やメールで報告・通知をする流れとなる。


 この通知の段階でCTC-SOCとMSS-IHが連携していると、インシデントが検知された際にCTC-IH専任のセキュリティエンジニアがリモートで各システムを調査し、影響の可否を判断(トリアージ)し、調査結果からセキュリティ侵害が発生した可能性が高いと判断されると、対策の指示と被害を局限化する対応を実施する。

 そして、インシデントレスポンスにおける技術アドバイザーとして顧客を支援する。

 さらに、インシデントハンドリングで課題となる「セキュリティエンジニアの不足」や「セキュリティインシデントの判断をする体制の構築」も解決する。


 CTC-MSSの詳細については以下よりご覧いただくことができる。


サービス詳細を見る







3. セキュリティインシデント監視「CTC-SOC」

 CTC-SOCでは24時間365日の監視体制で、サイバー攻撃をモニタリングし、セキュリティインシデントにつながる脅威を通知する。


 提供するサービスメニューには、標準監視メニューとデバイス監視メニューとその他にオプションメニューもある。

  • 標準監視メニュー
    • MSS導入
      • お客様環境とIPSec-VPNで接続し、監視可能な状態する
    • ポータル監視
      • お客様毎に専用のWEBページを提供
    • セキュリティログ監視
      • 24時間365日ログを監視・分析
    • インシデント通知
      • セキュリティインシデントを通知
    • ポリシーチューニング
      • SIEMに対するチューニングを実施
    • セキュリティログ保管/提供
      • CTC-SOCで受信したSYSLOGを標準1年間保管


  • デバイス監視メニュー
    • セキュリティ機能の設定変更
      • お客様トリガーによる、デバイスオペレーションを提供
    • インシデントオペレーション
      • 通知したインシデントをトリガーにしたデバイスオペレーションを提供
    • 稼働状況監視
      • 監視対象デバイスをPING/SNMPで監視
    • 障害対応(障害切り分け/一次対応)
      • 監視対象デバイスの一次切り分けをサポート
    • 設定情報管理
      • 監視対象デバイスのコンフィグを3世代管理
    • 定義ファイルのバージョン管理
      • 監視対象デバイスのシグネチャおよびパターンファイルを最新の状態に維持
    • ファームウェア管理
      • 監視対象デバイスのメジャー/マイナーバージョンアップを実施



 デバイス監視メニユーにもSLAが設けられ、稼働状況監視では30分以内に、セキュリティ機能の設定変更対応では24時間以内に連絡や対応が行われる。その他にも内容に応じたSLAが用意されている。

  • オプションメニュー
    • 応急対応
      • セキュリティインシデントと思われる兆候が確認された場合には、アナリスト判断で暫定対処(通信遮断など)を実施
    • カスタムレポート
      • 月次レポートの内容に加え、お客様毎の検討状況に対する状況及び対策などを詳細にレポート
    • セキュリティ報告会
      • カスタムレポートをもとに、お客様先にて報告会を実施。アナリスト同席の場合には、テレビ会議などで参加
    • セキュリティログ長期保管
      • 標準の1年間のセキュリティログを1年単位で長期(最大5年)保管



 2014年10月からサービスを開始したCTC-SOCには、数々の実績がある。

 例えば、月間数十億ページビューがある総合メディアサイトにおける数百台のWebサイト監視や、AWS上に構築した個人情報を扱うキャンペーンサイト監視に、大手の金融業や製造業に自治体など実績の対象は多岐にわたる。





4. セキュリティインシデントハンドリング初動対応「CTC-IH」

 様々なサイバー攻撃から守るためにセキュリティ対策製品を導入している企業は多い。

 しかし、SOCの運用体制がないとアラートが形骸化して「アラートに気づかないことが最大のリスクになる」と池田は指摘する。


 SOCを導入することでセキュリティアラートに対する対応工数を大幅に削減でき、運用負担も軽減できる。

 しかしSOCを用意しただけではもう一つの課題が残る。

 それは「SCOアラートを受けた後の対応」である。セキュリティインシデントをハンドリングする専門のセキュリティエンジニアがいなければ何を優先的に対応したらいいのか選別(トリアージ)ができない。


 そこでCTCでは、企業のセキュリティ担当者の負担を軽減するためにトリアージを含めたインシデントレスポンスを提供する新しいセキュリティ運用の形を構築した。


未来の基盤も支える、CTCのクラウド
図 4. 企業のセキュリティ担当者の負担を軽減する新しいセキュリティ運用の形





 セキュリティ対応に必要な情報を的確なタイミングで企業のセキュリティ担当者に伝えるとこで、運用負荷と被害軽減が実現できる。

 また、セキュリティインシデントの対応では、インシデントハンドリングチームがセキュリティ担当者にセキュリティ対応に必要な情報を報告するだけではなく、詳細確認やオペレーションに関する問い合わせがあれば対応する体制も提供する。

 池田は、このリモートで提供されるインシデントハンドリング初動対応サービスを利用する効果として「セキュリティエンジニアの不足や、セキュリティインシデントを判断できるスキル不足を解決する」と説明する。





さいごに

 セキュリティ運用、監視を外部の MSS 運用事業者にアウトソースすることで、高度なセキュリティ対策等が可能になる。

 セキュリティ運用体制の整備に課題を抱えている企業は、是非、CTC のMSSの利用をご検討いただきたい。



 尚、解説資料については、以下よりご覧いただくことができる。

関連記事はこちら