大河原克行のクローズアップ!エンタープライズ

世界最高峰のセキュリティアナリストが集結!

Dell SecureWorksのアトランタ セキュリティオペレーションセンターを訪ねる

 米Dellにおいて、情報セキュリティ運用管理サービスを提供するDell SecureWorksは、米国アトランタ、米国シカゴ、米国プロビデンス、英国エジンバラ、日本の川崎の全世界5カ所に、セキュリティオペレーションセンター(SOC)を開設している。

 ここでは、セキュリティ管理技術の認定資格を持つセキュリティ専門家が500人以上在籍。1日1100億件のログを収集して独自エンジンで解析するとともに、専門家による分析レポートや、対応策の提案を、サービスとして提供している。

 Dell SecureWorksが開設しているセキュリティオペレーションセンターにおいて最大規模を誇るのが、Dell SecureWorksの本部がある米アトランタのSOCだ。実際に、ここを訪れ、SOCの取り組みを見た。

アトランタのセキュリティオペレーションセンターが入るビル

24時間365日体制のSOCを5カ所に設置

 Dell SecureWorksは、現在、全世界75カ国以上、約4000社の企業に対して、情報セキュリティ運用管理サービスを提供している。

 その中核となるのが、セキュリティオペレーションセンター(SOC)である。

 Dell SecureWorksが提供する「マネージド・セキュリティ・サービス」、「セキュリティ&リスク・コンサルティング(SRC)」などのサービスにおいて、SOCが収集したデータが重要な役割を果たすことになる。

 SOCは、Dell SecureWorksの本部に併設する形で設置され、最大規模を誇る米国アトランタの拠点のほか、米国シカゴ、米国プロビデンス、英国エジンバラ、日本の川崎の全世界5カ所に開設している。これらのSOCは相互に連携するとともに、いずれの拠点も24時間365日体制で、全世界を対象に監視を行っている。

 Dell SecureWorksには、全世界で約1600人の社員が勤務するが、そのうち、SOCでは約500人が勤務するという。

 また、それぞれのSOCでは、それぞれの地域のユーザー企業からの要求にも対応するという。

 「その国においてどんな課題があるのか、その国の顧客はどんなことを要求しているのかといったことを理解し、それにあわせた活動を行っている。日本のSOCであれば、日本の顧客の要求に対応。英国のSOCであれば、欧州の顧客の要求に対応することができる」(Dell SecureWorks アトランタ セキュリティオペレーションセンター ネットワークセキュリティディレクターのテレンス・マクグロウ氏)とする。

Dell SecureWorks アトランタ セキュリティオペレーションセンターのネットワークセキュリティディレクター、テレンス・マクグロウ氏

 そして、SOCに勤務するエキスパートは、すべてがセキュリティ管理技術の認定資格を持つセキュリティの専門家である。

 「エキスパートが所有する資格には、社外で実施している公的なもの、社内で実施しているものがある。社内では常に教育を行っており、外部委託はせずに、すべてが正社員で構成される。顧客のデータに直接触る立場にあるため、高いセキュリティ知識を持った人材を育成することが必要であり、それに取り組んでいる。また、社外の認定資格としては、国際的標準資格であるGCIAの取得者も多い。これは大変厳しい資格制度であり、全世界で認定者は4790人しかいない。このうち、Dell SecureWorksには73人が在籍。今年末には90人規模になるだろう。ひとつの企業でこれだけの取得者を有しているケースは多くはない。最大規模に近いと考えている」(マクグロウ氏)とする。

 Dell SecureWorksでは、同資格を取得するためのサポートを行っており、資格取得のための費用も援助している。現在、川崎のSOCにも6人の有資格者がいるという。

 「GCIAを取得するだけの知識も必要だが、日本人の場合には、アトランタのSOCをはじめ、各国のSOCと緊密なコミュニケーションを取るために英語力も求められる。日本で優秀な人材を確保するのは極めて大変だ」とする。

 だが、日本におけるSOCの重要性が高まるのにあわせて、今後も優秀な人材の確保には力を注ぐという。

毎日110億件にのぼる膨大なログを解析

 SOCでは、毎日110億件にのぼるログを解析している。これらは、4000社以上の情報システムに設置されたCounter Threat Applianceと呼ぶ機器を通じて収集したもので、25万以上のデバイスが監視対象となっている。

 そのうち80億件が特定のセキュリティイベントと関連付けられ、これを、Dell SecureWorksが開発したセキュリティイベント分析エンジン「MPLE(Multiple Process Logic Engine)」をベースに駆動する独自プラットフォーム「CTP(Counter Threat Platform)」を活用し、25万を越すパターンをもとに分析するという。CTPでは、単なる機器別のセキュリティ監視だけでなく、目的や行動様式を意識した監視を実施しているのも特徴だ。

 標準プロトコルであるSyslogやSNMPのほか、ネイティブAPIであるCheck Point OPSEC LEAやCisco SDEE、Sourcefire e-Streamer、QualysGuard、McAfee JDBCや、WindowsおよびUNIX、カスタムアプリケーションなどにもシームレスに対応している。

 80億件のセキュリティイベントのうち、ほとんどのイベントは悪質ではないためログに記録されて保存されるにとどまる。悪質なイベントと認定されるのは、このうちの7600件程度だ。ここまでの認定作業は自動的に行われることになる。

 こののちに、悪質と認定されたイベントをGCIA認定セキュリティアナリストが直接分析することになる。最終的には、7600件のうち4200件が重要なセキュリティインシデントとして特定され、顧客にレポートされるという。

 「4200件のうち、本当に危険性が高いと認識されるのは、10~15%程度。毎日アップデートを行い、MPLEにパターンを追加していく。ここが他社と大きく異なる点。インテリジェンスをセキュリティ対策に利用することで、脅威を予見することもでき、未知への攻撃にも対応できる」(マクグロウ氏)。

アトランタのセキュリティオペレーションセンター

サイバーテロに対する“特殊部隊”も

 Dell SecureWorksでは、防御、検知、対応、予測という4つの観点から、継続的で、即応性の高い保護を実現している点を強調する。

 防御では、顧客の環境をプロアクティブに保護する「セキュリティ&リスク・コンサルティング」を提供。検知では、脅威の特定と評価を「マネージド・セキュリティ・サービス」としてリアルタイムに提供する。また、対応としては、インシデント・レスポンスの専門家により、脅威の特定と根絶を実施。予測では、CTUインテリジェンスにより、未知の脅威を予見できるという。

 なおDell SecureWorksでは、CTU(Counter Threat Unit)と呼ばれる組織を有し、未知への攻撃にも対応できる体制を整えている。ここは、セキュリティリサーチの専門部隊であり、サイバーゲリラやサイバーテロに対する“特殊部隊”ともいえる存在だ。

 CERTや米国防総省、国立研究所などの各種専門機関出身者で構成され、マルウェア分析やリバースエンジニアリング、インテリジェンス分析、フォレンジック分析、脅威のモデリング、脅威攻撃の傾向と状況の分析、脅威への対応策の開発などを行う。

 Dell SecureWorksでは、「SOCで得た情報をもとに、CTUを通じて、こうした高度なセキュリティ対策活動を行っている点も、重要な差別化要素だ」と語る。

 一方、マクグロウ氏は、SOCで観測した最近の脅威の傾向について、「近年では、アンダーグラウンド市場において、悪意のあるソフトウェアやツールを、販売するハッカーが急増している。その多くは、数百ドルで購入することができるもので、コンピュータに熟練していなくても、必要なツールやマルウェアを購入すれば、サイバー攻撃を仕掛ける環境ができる点が問題だ」と指摘。

 「さらには、ターゲットを明確化したリスト型攻撃が増加している。利用者は、正常なアクセスをしている形に見えるが、実際には、そこから情報を抜き取られているという例が相次いでいる」と話す。

 また今日見られるサイバー攻撃のなかで、妙なもののひとつとして、「Living Off the Land」をあげる。これは、社員が持つネットワーク資格情報を巧みに工作し、その資格情報を使用して、標的とする組織ネットワークへの侵入を試みるという攻撃だ。また、「Skeleton Key」と呼ぶマルウェアは、Active Directoryの認証をバイパスするマルウェアで、第三者が認証できるパスワードを使用して、企業のネットワークに侵入するというものだ。

 Skeleton Keyを例にとっても、SOCによって早期に発見し、それをもとに、CTUによって、早い時期に対策方法が明示されるといったことが行われている。

SOCの仕組みを説明するマクグロウ氏

 では、今後、SOCでは、なにを強化していくことになるのか。

 Dell SecureWorksのマクグロウ氏は、「今後も優秀なアナリストを採用し、トレーニングを行うといった人材の強化に加え、MPLEの改善を図ることで、解析のスピードをさらにあげていきたい」と語る。そして、「顧客の情報システムに対して、安全を提供していくことが、Dell SecureWorksの役割。セキュリティリスクが高まるなかで、われわれの役割は、さらにアナリストの教育を行い、よりレベルの高い安心を提供していくことにある。われわれの活動に対する認知を高めながら、外敵から情報システムを防御できる、より強固な仕組みを提供していく」とする。

 こうした取り組みを推進する上で、日本のSOCも強化が図られることになろう。日本の企業にとってもDell SecureWorksのSOCの存在と、その強化への取り組みは、安心な情報システム環境の実現において、ますます重要なものになるといえそうだ。

大河原 克行