トレンドマイクロ社による「法人組織のセキュリティ動向調査 2020年版」によると、2019年4月～2020年3月の1年間において、国内法人組織の78.5%が何かしらのセキュリティインシデントを経験しています。

引用：法人組織のセキュリティ動向調査 2020年版/トレンドマイクロ

どの組織も、セキュリティ対策ソフトの導入やファイアウォールの設置など、脅威の侵入を未然に防ぐ施策を行っている中、なぜ約8割もの組織・企業でセキュリティインシデントが発生してしまっているのでしょうか。

24時間365⽇体制でセキュリティログの監視・対処するSOC（Security Operation Center）サービス、「CEC SOC」を展開するのが株式会社シーイーシー（以下、シーイーシー）です。「CEC SOC」セキュリティオペレーションセンター長の古山氏は「近年のサイバー攻撃は巧妙化され気づきにくいため、もはや初期侵⼊を防ぐことは不可能に近い」と断言します。

初期侵⼊は防げないという前提に立ち、攻撃や不審な動きを早期に検知し、すばやく対処するための専門組織「CEC SOC」について、巧妙化するサイバー犯罪へどう対処すべきか伺いました。

あらゆるソフトウェア・あらゆる機器のログをまとめて分析

サイバーセキュリティ.com
「CEC SOC」サービスの概要について教えてください。

古山氏
「CEC SOC」は、マイクロソフト・ソフォス・トレンドマイクロなど、主要なセキュリティベンダーの製品や、周辺機器のログを統合して監視・対処するサービスです。

神奈川県座間市と東京都品川区にあるシーイーシーのセキュリティオペレーションセンターには、セキュリティ専門アナリストが常駐。24時間365日体制でログを監視し、セキュリティインシデントを検知した場合は、基本的には30分以内に電話・メールでお客様企業に通報します。さらにリスクの特定・分析および対処に加え、根本的な是正措置まで提供しています。

「CEC SOC」の役割を端的に示すと、「サイバー犯罪から情報を守ること」と言えます。

サイバー犯罪者たちは他のサイバー犯罪者と横方向にもつながっていることは有名で、彼らがポーカーゲームをするときの賞品は、不正に収集した個人情報だったりするのです。近年では、サイバー犯罪者たちが新しい攻撃手法や攻撃する価値のある企業に関する情報などをやり取りしていることが確認されています。

サイバーセキュリティ.com
「CEC SOC」では日々どのくらいのインシデントを検知しているのですか？

古山氏
「CEC SOC」内のSIEM（Security Information and Event Management）で受け取るイベント数の平均は、1日150万件ほどです。

例えば、ある日の実績値だと、「CEC SOC」で検知したイベント総数は210万イベントでした。210万イベントの内、明らかな攻撃が347イベント、さらにお客様への通報を要するイベントが8件でした。

通報すべきセキュリティインシデントは、基準に基づいて決定します。検知したイベントをInformation・Warning・Critical・Emergencyの4段階に分類し、通常速やかな対処が必要であるCritical・Emergencyについては、発生から30以内の電話およびメールでの通報対象としています。

サイバーセキュリティ.com
「CEC SOC」の全体像、顧客とシーイーシーとの連携について教えてください。

古山氏
インシデントの検知から対処は、シーイーシーとお客様企業とで連携して行います。

まず、お客様企業内に設置したSyslogサーバからのログ・「CEC SOC」内のSIEMと専門アナリスト・主要パートナーからの最新情報など、あらゆる知見を集約します。

Syslogサーバというのは、顧客企業からのあらゆるセキュリティログを集約するための専用サーバです。例えば、従業員のPCにインストールしたセキュリティ対策ソフトは休みなく動き、不審な点があればログ情報を出力しますが、Syslogサーバが、全従業員からのログ情報を受け取って集約します。集約したログ情報を解析して、各イベントの危険度や相関性を自動的に判別するのがSIEMの役割になります。

そして、知見を集約した上で、次のようなサイクルを回します。

1. 監視
2. 分析通報（緊急通報）
3. 解析通報（対処支援）
4. 月次レポート

インシデントの発生時、お客様企業が行うことは、通報後の対応です。例えば、「CEC SOC」からの通報では、「今すぐ○○サーバの電源を落としてください」、「○○部の○○さんのPCをネットワークから切り離してください」など、オペレーターが具体的な指示をします。お客様企業では通報を受けたら、指示に従って実行していただくことになります。

サイバーセキュリティ.com
通報に分析通報と解析通報の2種類あるのはなぜですか？

古山氏
分析通報（緊急通報）では、一次通報として緊急事態であることを通知します。例えば、「AさんのPCが感染している、緊急対処としてAさんのPCのフルスキャンを実施してください」など、緊急で対処すべき情報を通知します。

次に、緊急通報の後、解析通報（対処支援）で、対処を支援するための二次通報を行います。例えば、「Aさんの周辺のBさん他へのPCは感染を免れています」などの情報です。併せて、周辺ログを確認することにより、そもそもの感染原因と恒久対応の支援を提供しております。

また、セキュリティ対策ソフトの期限が迫っているなどの情報も通知します。オプションサービスとして、セキュリティアドバイスやチューニング、セキュリティ製品のQ&A対応なども行っています。

相関的な解析で外部要因・内部要因 両方の情報漏えいを防ぐ

サイバーセキュリティ.com
各セキュリティ対策製品にもログ機能がありますが、あえて「CEC SOC」が必要な理由は？

古山氏
セキュリティ対策製品は、必ずしもユーザーフレンドリーとは限りません。また、様々なベンダーの製品や周辺機器からログデータは膨大で、それらを⼈の⼿でリアルタイムに分析することは不可能です。あらゆる製品・機器のログを読み解き、分析するには専門性が必要になってきます。

サイバー犯罪者の目的である重要情報の窃取が遂行されてしまう前に、対処まで完了しなくては意味がありませんので、専門性を駆使して早期に攻撃の兆候を検知することが非常に重要です。

サイバーセキュリティ.com
そもそも導入したセキュリティ製品や機器のベンダーが混在してしまう理由は何でしょうか？

古山氏
製品・機器のメーカーが混在している状態では、管理に工数がかかるなど弊害も多いことは、お客様企業も承知の上です。ただ、次のような理由で、”やむをえず”混在させているのが現状となっています。

１つは、セキュリティ対策はメーカー１社のみの製品で統一してしまうと、リスクが高いという考え方があります。例えば、ファイアウォールに強いA社と、エンドポイントセキュリティに強いB社の製品とを導入して、リスク分散する企業も少なくありません。

２つ目は、”会社同士のお付き合い”という意味で、昨年はA社に発注したから、今年はB社に発注するなど、取引先企業に便宜を図らないといけないという事情もありますね。

サイバーセキュリティ.com
急増している、従業員など内部犯行による情報漏えいについて、見解を聞かせてください。

小山氏
「人の行動による不正」、これはまさに今、シーイーシーが最も危惧している脅威です。

テレワークの急増も後押しとなり、個人のパソコンがどこまでもインターネットにつながるようになっています。”個人の行動”による不正にフォーカスしたサービスを、近々提供開始予定です。

古山氏
実際、医療機関が、行った手術の内容をtwitterに投稿してしまうという事故が起きています。技術自慢として投稿しただけだとしても、患者にとっては大切な個人情報です。

このように個人の行動による情報漏えいなどの不正を防ぐため、個人の行動に根ざすセキュリティ、「UEBA（User and Entity Behavior Analytics）」の考え方が重視されるようになりました。

• アクセスする必要のないクラウドの利用
• クレジット番号を送信する兆候
• 社外秘文書を印刷しようとする兆候
• 不審な大量印刷
• 会社の就業時間に反したログイン

これまでは、セキュリティというと入口対策や出口対策、サーバ対策やPC対策といった、機器に着目する監視・防御が主でした。上記のようなヒトの行動と、従来のセキュリティ情報を関連づけることにより、ヒトの行動に根差した脅威を検知することが可能になっています。更に、その脅威をシステムやネットワークのセキュリティポリシーに反映するといったポリシー強化にもつなげることができます。

さらに、次のような詳細分析もできます。例えば、始業9時・就業17時の会社で夜中の2時に社内リソースへのログインがあったら不審なログインと考えるでしょう。

SOCサービスを活用して、個人のデバイスからのログとネットワーク情報を相関的に解析すると、その不審なログインはブルートフォース攻撃の兆候なのか不正なアカウント利用によるものなのかといった、目的も分析できるようになります。

国際規格CEH保持者も複数在籍

サイバーセキュリティ.com
シーイーシーは主要ベンダーと密接に連携していると伺っています。

古山氏
はい。ソフォス・トレンドマイクロ・マイクロソフトなど、主要なベンダーと連携しています。

各セキュリティベンダーとの長年培ってきた信頼関係により、最新の情報を共有し合い、お客様へご提供するサービスの一部としてご提供させていただいております。

サイバーセキュリティ.com
セキュリティオペレーションセンターの体制や人材について教えてください。

古山氏
神奈川県座間市と東京都品川区の２つのセキュリティオペレーションセンター合計で、オペレーターが40名弱在籍しており、6名1チーム体制で24時間「CEC SOC」を稼働しています。オペレーターは、情報処理安全確保支援士・ISMS審査員（補）・情報セキュリティマネジメントなど、各種資格を持つ優秀な人材ばかりです。

また、第三者からの審査も受けており、経済産業省が策定した「情報セキュリティサービス基準」への適合認定※も取得しています。

参照https://www.ipa.go.jp/files/000067320.pdf

小山氏
国際規格「CEH (EC-Council Certified Ethical Hacker：認定ホワイトハッカー)」保持者も、座間に3名、品川に２名ほど在籍しています。まずは敵（ハッカー）の手口を知ることが重要ですので、CEHの取得は特に強化しています。

6重ゲートの強固なセキュリティ体制を整備

サイバーセキュリティ.com
セキュリティオペレーションセンターのセキュリティについて教えてください。

古山氏
「CEC SOC」は企業のあらゆるログを分析するサービスであるがゆえに、自社の情報を事業者に渡すことに抵抗のある企業も少なくありません。当社ではお客様企業の事情は十二分に理解しており、鉄壁の運用・セキュリティ体制を整備しています。

まず、「CEC SOC」には、24時間365日、オペレーターが常駐していますが、ルームに入室する前に6重のゲートがあり、オペレーターであってもゲート毎にIC認証を通過しないと入れません。さらに、解析データもパスワードで保護されています。

各プロジェクトに対し、シーイーシー内で何重ものチェックや監査を実施する他、第三者機関による審査・監査も行っています。お客様企業自身でセキュリティオペレーションセンターを監査したいという場合、実際に訪問してご覧いただくことも可能です。

プロジェクトの編成にも特長があります。通常、オペレーターが6名1チーム体制で各企業のログ解析にあたっていますが、特定の企業の対応に特化した専門チーム制も採用いただけます。

さらに、１企業だけの専用ルームを作ることもできます。専門チーム制は別途見積もりにはなりますが、特に、金融関連企業などからご要望をいただくことがありますね。

SOCサービスはベンダー選びが肝

サイバーセキュリティ.com
「CEC SOC」以外にもSOCサービスがあります。気をつける点は？

古山氏
お客様企業は、SOCサービスの必要性は分かりながらも、自社にあったSOCサービスは理解しておられないと感じています。

SOCサービスというものは、何もインシデントがなければ稼働状況が分からないものです。SOCサービスを提供しながら、実際のSOCの活動は何もしていないという、誰もが知る大手ベンダーも実在します。また、セキュリティ対策ソフトのログやメッセージをそのまま転送することをSOCと呼んでいるベンダーもいます。

優秀なアナリストを揃え、24時間365日の体制で、本気でSOCサービスに取り組んでいるシーイーシーとしては、”正しいベンダーを選んで欲しい”と感じております。

また、SOCサービス選びを始める前に、自社の”何を守って欲しいのか”を明確にしておくことが、自社に合ったSOCサービスに出会うための重要なポイントです。

サイバーセキュリティ.com
「CEC SOC」はカスタマイズできますか？

古山氏
はい。基本契約の条件や月額費用を設定しているものの、お客様企業のニーズに合わせて契約内容を決められます。例えば、3ヶ月だけ契約したり、監視機材を絞ったりすることも可能です。

自社内にセキュリティアナリストを抱えている企業もありますので、監視対象やサービスの範囲は決めていません。「CEC SOC」で検知だけ行いたいので、解析は不要などの要望にも柔軟に対応可能です。100社あったら100種類のサービスがあるべきと考えています。

なお、Syslogサーバの設置はシーイーシーで行いますので、お客様企業での対応は不要です。Syslogサーバがなくてもログの監視自体は可能ですが、Syslogサーバを設置することにより、お客様～SOC間の通信が暗号化できること、およびお客様先でもログを保有いただくことによって、SOCサービス自身の稼働確認に繋がるというメリットがあります。

サイバーセキュリティ.com
最後に、「CEC SOC」を特におすすめしたい業界や企業があれば教えてください。

株式会社シーイーシー CEC SOC セキュリティオペレーションセンター長 古山氏

古山氏
最近では、中小企業や金融業界の企業からのお問い合わせが増えていると感じています。大手企業の他、監視PC台数100台ほどで契約をいただいている企業もあります。大体、社内PCが100台を超えるとSOCサービスの導入を考えはじめるようです。

古山氏・小山氏
シーイーシーの社員たちは、いつもお客様のセキュリティ課題が解決したときに仕事の喜びを感じると言っています。企業規模や業種に関わらず、セキュリティに関して困っていることがあれば、まず当社にご相談いただきたいですね。

CEC SOC

URLhttps://security.cec-ltd.co.jp/soc/

企業情報