NTTデータ先端技術、セキュリティの運用負荷を低減する監視サービス「INTELLILINK カスタムSOCサービス」

　株式会社NTTデータ先端技術は16日、企業のセキュリティ運用の負担軽減を支援するサービス「INTELLILINK カスタムSOCサービス」を提供開始すると発表した。大量のログ情報をもとにして不正の兆候を発見するシステムの構築・運用から、企業・組織のCSIRTとの連携によるインシデントレスポンスまでを、一気通貫でサポートするとしている。

　INTELLILINK カスタムSOCサービスは、NTTデータ先端技術がSIEM（Security Information and Event Management）やUEBA（User and entity behavior analytics）を用いて高度なログ分析を行い、利用企業のSOC（Security Operation Center）運用の負荷を低減できるように支援するサービスである。

　従来のSOCサービスは、利用可能なセキュリティ機器が限定され、サービス内容の自由度が低いものが一般的だったというが、このサービスでは、企業がすでに利用している、他社が導入したセキュリティ機器・ソフトウェアに対しても柔軟に対応する点が特徴。監視対象となる端末やセキュリティ機器の追加や構成変更なども、必要に応じて柔軟に対応するという。

　監視対象製品のモニタリングにおいては、セキュリティログの分析をつかさどるSIEM・UEBAの検知ルールを作成し、脅威につながる“真に危険な”アラートのみを調査できるようにするほか、過検知/誤検知を削減するために、セキュリティアナリストが分析を行い、正誤判定を含めた事象の切り分けを実施する。

　さらに、一次調査でクローズできないアラートについては、CSIRTなどのインシデント対応組織へエスカレーションし、インシデントの早期解決と被害の最小化を目指す。また、CSIRTからの依頼に基づいた追加調査・対応も実施可能とした。

　加えて、運用状況をレポートするとともに、セキュリティアナリストがSIEM・UEBAの検知ルールのチューニングや、セキュリティ機器の適切な設定変更も実施するとのこと。

　なお対応する監視対象としては、ID管理・認証、SWG（Web通信監視）、メールセキュリティ、EDR（端末検知）、SIEM・UEBA（ふるまい検知）などを挙げている。