世界中がネットワークで繋がっている現在、情報セキュリティーへの脅威はグローバル化し、その攻撃手法も複雑化している。外部ネットワークからの脅威を防ぐには、ファイアウォールやIPS(不正侵入防御装置)の適切な管理が求められる。IBMでは、世界的に活動するセキュリティー研究開発機関である X-Forceのナレッジを活用したネットワーク監視サービス「IBMマネージド・セキュリティー・サービス」を提供している。同サービスのチーフ・セキュリティー・アナリストである梨和久雄氏にサービス概要を聞いた。
「IBMマネージド・セキュリティー・サービス」(以下、MSS)は、企業のネットワーク環境を外部脅威から防御する監視サービス。IBMの情報セキュリティー研究開発機関である X-Forceのノウハウと、専門エンジニアによる24時間365日のセキュリティー運用管理で、不正アクセスの防御、メールセキュリティー、Webのセキュリティーなど、主にネットワーク脅威対策を目的としたサービスを提供している。
IBMは、企業システムとしてハードウェアやソフトウェアを提供しており、情報セキュリティーに関する各種のシステムや設備の診断は従来から行っている。顧客企業側でこれらのシステムの管理運用を行おうとすると、専門的な知識や最新の情報が必須であり、対処が難しいということが、MSS提供の背景にある。IBMでは、世界9拠点にセキュリティー・オペレーション・センター(SOC)を展開しており、日本国内のMSSを担当するTokyo SOCもその1つ。各SOCは連携して情報共有を行い、24時間態勢で顧客企業のネットワーク環境を遠隔監視している。
チーフ・セキュリティー・アナリスト
梨和久雄氏
CISSP(Certified Information Systems Security Professional)
チーフ・セキュリティー・アナリストの梨和氏は「現金輸送など、物理セキュリティーについては、警備会社にアウトソースすることが普通になっています。情報セキュリティーについても、今後はそのようになっていくと考えます。実際、これまで自身で運用していた金融系や医療系、公共インフラ系のお客様が、我々のサービスを利用されるようになっています」と語る。
梨和氏に最近のネットワークの脅威について聞くと、Gumblarに代表される、"ドライブ・バイ・ダウンロード攻撃"が目立っているという。この攻撃手法は、Webサイトを改ざんして悪意のあるスクリプトを仕込み、サイトにアクセスしたPCを、マルウェアのダウンロードサイトに誘導して感染させるものだ。梨和氏によると、金銭目的でGumblar攻撃を行うためのWebアプリケーションも複数種あり、いまだに勢いは衰えていないという。Gumblar型の攻撃は、情報漏えいはもちろん、攻撃に関与することで加害者となり、風評被害に遭う恐れもある。(ドライブ・バイ・ダウンロード攻撃について詳しくは下からダウンロードできる「2010年 下半期Tokyo SOC情報分析レポート」のP4以下を参照)
さらにここ数年のトレンドとして梨和氏は"標的型攻撃"を挙げた。これは、攻撃対象を絞って、相手が気になるような内容でメールを送信するものだ。「企業の要人宛に、セキュリティー機関や省庁の担当官や部長といった虚偽の送信元で送信されます。尖閣諸島問題が起きた9月ごろには日中関係に関する情報と称して、ウイルスが添付されたメールが送信されていました。要人を狙うと、価値の高い情報を得られますので、最近ではこうした攻撃を我々のセンターで捕捉する数が増えてきています」と梨和氏。
Tokyo SOCのメンバーは40名強、世界中のSOCでは数百名。また X-Forceにも100名を超えるエンジニアが在籍している。現在、全世界で4,000社のネットワーク、3万台のデバイスを監視しており、毎日70億件のセキュリティー・イベントが検知されるという。危機管理のナレッジが集約されているため、攻撃の兆候をいち早く捕らえたり、攻撃への的確な対処をアドバイスすることが可能となる。梨和氏は「ゼロデイ攻撃(脆弱性が発見され、その対策が公開される間に行われる)など、アンチウイルスやIPS(不正侵入防御装置)で簡単に捕らえられない場合でも、我々のセンターであれば、情報を集めることで潜伏している脅威をあぶり出して被害を食い止めることができます」とMSSの優位性をアピールした。
セキュリティー・オペレーション・センター(SOC)
MSSでは、専門のエンジニアが顧客企業のセキュリティー機器を常時監視し、脅威を発見した場合は15分以内に顧客に連絡する。さらに、重要度が高い脅威については30分以内に対策を提案する。顧客向けには、ログの確認やレポートの出力ができるポータルサイトも用意されている。「MSSのメイン機能は、お客様のネットワークに設置されたセキュリティー機器を使って、不正アクセスを防御することです。当然、デバイスの死活監視やお客様の環境にあわせたセキュリティー・ポリシーのチューニングも行います」と梨和氏。
国内のMSS利用企業は現在のところ500社。金融系や公共インフラ系以外にも業種や規模の大小を問わず、ITを使ってビジネスを展開するさまざまな企業が利用している。最近では、Webサービスを展開する新興企業の利用も増えているという。梨和氏は「Webサービスの場合、複雑なアプリケーションを利用していると、IPSで意図した通りの検知を行うことが難しい場合もありますので、より細かい設定が必要になります。こうしたノウハウが蓄積されているのも我々のセールスポイントです」と語った。
Tokyo SOCで1日に検知するセキュリティー・イベントは約3億件。そのうち顧客に通知すべき脅威はわずか数件だという。膨大な数のイベントから重要な脅威を的確に絞り込むには、相当なノウハウと技術力が必要であることが伺える。高度化するセキュリティーの脅威への対策を独自にまかなう場合、対処のノウハウや、各種設定の手間、専門エンジニアの確保など、相応のコストが必要になる。MSSの中規模~大規模ネットワーク向けの防御を保証する高品質サービス「Managed Protection Services for Networks -- Select」の参考価格は月額24万円。より小規模向けに月額10万円以下で提供するプランもある。「独自に行う場合とコストを比較した場合、MSSの優位性は明らかです」と梨和氏。
最後に梨和氏は、「リアルタイムの監視だけでなく、新しい傾向などのリサーチも行っています。脅威が与える影響を周知し、お客様に対策をアドバイスするような活動もしています。Tokyo SOCで定期的に公表しているレポートもあります。特に運用側の方にお役に立てると思いますので、ぜひご覧ください」と語った。
簡単なアンケートにお答えいただきますと下記ホワイトペーパーがダウンロード出来ます
2010年下半期 Tokyo SOC 情報分析レポート
本レポートは、世界9ヶ所セキュリティー・オペレーション・センター(SOC)にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威の動向を、東京SOC が独自に分析し、まとめたものです。
