インターネットイニシアティブ(IIJ)は2023年4月11日、SOC(セキュリティオペレーションセンター)サービス「IIJ C-SOCサービス」にMicrosoft 365製品の監視・分析機能を追加したと発表した。同日、エンドポイントセキュリティ製品「Microsoft Defender for Endpoint」(MDE)の監視サービスを開始した。MDEのログやアラートを、IIJ C-SOCサービス専任のセキュリティアナリストが、ユーザーに代わって常時監視・分析し、必要に応じて隔離などの1次対応まで実施する。
IIJの「IIJ C-SOCサービス」は、ファイアウォールなどのセキュリティ機器やEDR(エンドポイント検知・対処)ツールなどを、ユーザーに代わって24時間365日体制で運用監視する、SOC(セキュリティオペレーションセンター)サービスである。IIJがユーザー企業のSOCとなり、これらセキュリティ製品を監視し、セキュリティログを収集・分析し、インシデントを検知した際には対応を実施する(関連記事:IIJ、SOCサービスに上位版、インシデント検知時にIIJの判断で端末隔離や通信遮断を実施)。
図1:SOCサービス「IIJ C-SOCサービス」の監視対象を増やし、EDR製品「Microsoft Defender for Endpoint」を監視できるようにした(出典:インターネットイニシアティブ)拡大画像表示
今回、SOCサービスの監視対象を拡充し、Microsoft 365製品を監視・分析できるようにした。EDR機能を持つエンドポイントセキュリティ製品「Microsoft Defender for Endpoint」(MDE)について、SOCでの監視サービスを開始した。MDEのログやアラートを、IIJ C-SOCサービス専任のセキュリティアナリストが、ユーザーに代わって常時監視・分析し、必要に応じて隔離などの一次対応まで実施する(図1)。
特徴は、Microsoftの脅威インテリジェンスと、IIJの脅威インテリジェンス(ISPであるIIJのバックボーントラフィックやDNS情報などのビッグデータ解析から生成)を掛け合わせて分析するこっと。これにより、ランサムウェアや国家主導攻撃など、各種のサイバー攻撃をカバーする。また、EDRだけでなく、ファイアウォールやWebプロキシなど、各種システム環境のログを相関分析する。
利用料金(1000人規模で利用する場合)は、初期費用が125万円から。月額費用が65万円から。別途、Microsoft Defender for Endpoint Plan2が利用可能なライセンスと、Azure Event Hubsの契約が必要である。
「テレワークやクラウドサービスが普及し、自宅など社外から社内ネットワークを経由せず直接クラウドサービスにアクセスする利用形態が拡大するなか、EDRなどのエンドポイントセキュリティ対策が企業の喫緊の課題となっている。一方で、「EDRのログやアラートをもとに状況を把握し、問題の原因究明や脅威への対処を行うには、高度なスキルと24時間365日インシデントに対応できる体制整備が必要である」(同社)
こうした需要を受けて同社は、IIJ C-SOCサービスにおいて、「CylanceOPTICS」(BlackBerry)や「CrowdStrike Falcon」(CrowdStrike)などのEDR製品を監視対象に加えてきた。今回さらに、MicrosoftのMDEを監視対象に加えた形である。「より多くのユーザーがエンドポイントセキュリティ対策を進められるようになった」(同社)としている。
