「ネットワンさんなら、どうします?」
ネットワンシステムズ(以下、ネットワン)はネットワークをはじめとして、顧客企業の情報インフラの構築や保守を手がけている。ネットワンの顧客企業から見たら、ネットワンは“インフラの御用聞き”のような存在だ。例えば最初にネットワンを通じてルーターやスイッチを導入して社内ネットワークを構築し、しばらくしてネットワンを通じてファイアウォールを強化し、近年なら標的型攻撃の対策を施す……など。
ネットワンシステムズ株式会社 セキュリティ戦略支援部 部長 菅原 崇史氏
顧客がネットワークやインフラを改修しようとすれば、ネットワンはまず先に相談される立場だ。「ネットワンさんなら、どうします?」。新しいサイバー脅威が話題になると、なじみのある企業はこういう言い回しで聞いてくることが多いそうだ。ネットワンとの付き合いが長いと、これまでインフラを増強してきた経緯を知る業者にどこを補強すべきか相談するのが確実なのだろう。
これまでもネットワンは顧客のインフラ保守で数々のセキュリティインシデントに直面してきた。実績はあるものの、2017年1月からは改めて「NetOne-SOC」としてSOCを新設。ここではセキュリティ分析基盤を整備し、専任のセキュリティアナリストチームを配置したことになる。同時に外部境界でのセキュリティ監視と運用サービス(MSS:Managed Security Service)も開始。インシデントの検出から緊急遮断まで24時間365日リアルタイムで対応している。
これも時代の要請が反映されている。少し前までの一般的なSOCだと主な役割は検知、分析、通知にとどまり、感染端末の特定や隔離、対処などは顧客に委ねられていたこともあった。サイバー攻撃は日々高度化しているため、一般企業のシステム担当者には対処しきれないことも多い。今ではSOCには検知や通知だけではなく、暫定的な対処や対象端末の特定や隔離なども求められている。企業は高度な技術を持つ外部のSOCの支援をもらいながら、自社のCSIRTと連携してサイバー攻撃に向き合うという形が定着しつつある。そうした形に添うように、ネットワンも独自のSOCを立ち上げた。
ただしSOCでは目に見えてインシデントが起きたら検知や対処はできるものの、標的型攻撃のように潜伏するものだと検知しにくい。菅原氏は昨今のサイバー脅威について「見つけにくくなってきています」と話す。標的型攻撃やスピア型フィッシングなど狙いを絞って攻撃するタイプだと、機知の脅威と照らし合わせて検知するものでは捉えきれない。サンドボックスも万全とは言い切れない。
なお菅原氏によると、メールでファイル送受信の際に暗号化するという習慣も検知を難しくさせる要因の1つになるという。暗号化は情報漏洩防止を意識した対処ではあるが、ファイルが暗号化されていると通過するゲートウェイでマルウェアかどうかチェックしにくい。ファイルの暗号化送信がいけないとは言い切れないが、マルウェア検知という意味では不利に働くこともあるということだ。
