テレワークの普及やIoT機器の増加などに伴い、セキュリティの脅威は増大しており、行うべきセキュリティ対策も変化しています。しかしセキュリティ対策は費用対効果がわかりにくく、専門知識を持つ人材を確保するのも難しいのが現状です。こうした企業の悩みに応えるのが、NTTアドバンステクノロジの提供する「ICT-24セキュリティオペレーションサービス(ICT-24SOC)」です。ICT-24SOCの特長や実績についてNTTアドバンステクノロジ株式会社の鎌田 理 氏、霜鳥 良 氏に伺いました。
1976年に創立されたNTTアドバンステクノロジ(NTT-AT)は、NTTグループの技術的中核企業として、NTT研究所の多彩な先端技術だけでなく国内外の先端技術を広く取り入れ、顧客の課題解決に貢献しています。
同社の重点事業分野の一つがセキュリティビジネスです。同社がセキュリティ診断や情報セキュリティのコンサルティングを開始したのは、1999年のことです。以来、20数年にわたりセキュリティビジネスを牽引してきました。
1999年以降のNTT-AT社が展開するセキュリティ事業の歩み。さまざまな実績を積み、技術・ノウハウを蓄積している。
セキュリティインシデントは2016年から2019年の3年間で約3倍になりました。「攻撃者は環境の変化に付け込み、多様な攻撃を行う傾向があります」と鎌田氏は語ります。IoTの活用が進む中で、インターネットに接続するデバイスが加速度的に増大しています。また最近では、新型コロナウイルス感染症拡大の影響でテレワークが一気に普及し、社外から社内ネットワークに接続する機会が増えました。このような変化がセキュリティ対策をより難しくしています。
企業では一般的に不正侵入防御システム(IPS)やWebアプリケーションファイアウォール(WAF)、標的型攻撃対策システムといったセキュリティ機器・製品を導入しています。
しかし、それらを導入しただけでは十分な対策とは言えないと鎌田氏は指摘します。「多様化していく攻撃に対応するためには、ログの監視やセキュリティパッチの適用、設定の見直しといった日々の対策を積み重ねることが、何よりも効果のある対策です」(鎌田氏)。
日々変化し、巧妙化する脅威への対策として近年注目されているのが「SOC(Security Operation Center:セキュリティオペレーションセンター)」というセキュリティ対策の専門組織です。
鎌田氏の解説によると、セキュリティ機器・製品から出力されるアラートのログは大量で、誤検知や軽微なものも含まれます。そのため大量のログを監視して、危険なアラートを絞り込み、迅速な対応を取る必要があります。
こうした活動を行うために、企業においてはSOCを設置する動きが出ています。SOCでは、セキュリティの専門家集団が24時間365日監視する体制を取ります。日々発生するアラートの危険度について分析し、影響範囲を調べ、想定したリスクに基づいて危険を通知する、といった活動を行うのがSOCの役割です。
これに似た概念の組織としては、「CSIRT(Computer Security Incident Response Team:コンピュータセキュリティインシデントレスポンスチーム)」があります。SOCがセキュリティ上の問題を発見し、CSIRTはセキュリティ上の問題に対応します。両組織は連携を取りながらセキュリティ対策を講じていきます。
しかし、企業が自前でSOCを用意するのは簡単ではありません。「特に最近ではセキュリティ人材の不足もSOC設置を阻む要因となっています」と鎌田氏は解説します。ある調査によると、今後投資を要するセキュリティ対策として「サイバーセキュリティ人材の育成」の回答がトップになりました。多くの企業がセキュリティ人材の確保に頭を悩ませているのがうかがえます。
セキュリティ対策は難易度が高まり、人材も不足しているため、企業が自前でSOCの体制をとることが困難になっている。
こうした企業の課題に対応するべく、NTT-ATは2016年にセキュリティラボを備えたオペレーションセンター「ICT-24SOC」を開設しました。24時間365日のセキュリティ監視とセキュリティオペレーションサービスを提供しています。
企業がICT-24SOCのサービスを活用する場合は、オペレーションセンターから企業のネットワーク環境に接続し、オペレーションセンターから遠隔で24時間365日ログを監視します。
ここで霜鳥氏にICT-24SOCの特長について教えていただきました。
企業では、さまざまなセキュリティ機器・製品を導入しています。ICT-24SOCでは各メーカーと協業のもと、多様なセキュリティ機器・製品に対応しています。「FW(ファイアフォール)、IPS(不正侵入防止システム)、サンドボックスなどのインターネット環境のセキュリティデバイスから、マルウエア防御などのエンドポイント環境のセキュリティデバイスまで、主要な機器・製品に広く対応しています」(霜鳥氏)。
セキュリティデバイスの大量のログをアナリストが分析し、これまで培ったノウハウをもとに危険度の高い重大なアラートを選別し顧客に通知します。「オペレーションセンターには、未知の脅威が発見された場合に検証するセキュリティラボと、専門知識を持つアナリストを配備しています」(霜鳥氏)。
オプションで防御のためのネットワークセキュリティ機器・製品導入するNOC(Network Operations Center)や重大アラートの対応支援(CSIRT支援)についても提供が可能です。「セキュリティコンサルティングやアラートの対応ノウハウを持っているため、広い範囲をワンストップで提供可能であることが強みです」(霜鳥氏)。
NTT-ATには「運用の負荷が重いので、SOC導入に踏み切れない」「効果的な運用ができているか不安を抱えている」といったさまざまな相談が寄せられているのだそうです。「自社のセキュリティ体制に不安を覚えている企業さまにも安心して利用していただけると思います」と霜鳥氏は語ります。
ICT-24SOCには標準プランが用意されていますが、「ネットワーク関連機器のチューニングやセキュリティ事故、インシデントの初動対応についても行ってほしい」「限られた予算の中でサービスを利用したい」といった企業の多様なニーズにも柔軟に対応しています。そこで過去の事例について教えていただきました。
ある企業では、セキュリティ機器(UTM)を導入していたものの、ログを確認しきれておらず、不正アクセスに気づくのが遅れてしまったことがありました。このことがきっかけでSOCの体制を検討し、NTT-ATに相談。それを受けてNTT-ATはUTMを監視し、危険度の高い通信をメール通知する運用メニューを提案しました。「お客さまからは『現状の課題に合った提案だった。運用開始後は定期的にレポートで報告があるため、安心して任せられる』という声をいただきました」(霜鳥氏)。
これまでICT-24SOCでは、大規模な自治体を含む多数の企業・組織のシステム監視運用を担ってきました。「電子機器企業をはじめ、エネルギー業、運輸業、海外拠点を含む製造業のお客さまにも活用いただいています」と霜鳥氏が語るように、さまざまな業種業態の企業の導入実績があります。
「ICT-24SOCのビジネスは順調に推移しており、今後もさらなる拡張を考えています」と語る鎌田氏。例えば、従来のICT-24SOCのサービスの一つに、お客さまが所有されているSIEM(Security Information and Event Management)を利用して監視するサービスがありましたが、高額なSIEMをお客さまが所有される必要はなく、今後は、こちらからクラウドSIEMを提供し、多様なセキュリティデバイスのログ監視を一元管理し、検出分析を行うサービスの提供を予定しています。
また、セキュリティ対策が甘くなりがちなテレワーク端末やIoTデバイスは攻撃の対象になることが増えており、監視のニーズはネットワークだけでなく、デバイスにも広がっています。「こうしたニーズに対応し、EDR(Endpoint Detection and Response:次世代エンドポイントセキュリティ)による端末の監視や、IoTのセキュリティ見守りなどサービスを拡充していきます」(鎌田氏)。
ICT-24SOCはトータルなサービスとして、幅広いニーズに応えるよう進化していくでしょう。「SOC運用にお困りでしたらぜひご相談ください」と鎌田氏。組織の規模を問わず、コストを抑え高い技術力を提供するICT-24SOCのサービスに今後も期待です。