株式会社ディー・エヌ・エー システム本部セキュリティ部 部長 茂岩 祐樹氏(写真左)
EnterpriseZine/Security Online キュレーター 加山 恵美氏(写真右)
結局判断するのは自分たちだからSOCを内製化した
特別講演のスピーカーである茂岩氏は、1995年の大学卒業後に日本IBMへ入社、ストレージシステムのエンジニアとして勤務をし、1999年にディー・エヌ・エー入社。以降2014年まで同社のインフラ構築・運用を統括してきた。2014年にはセキュリティ部を設立し、ディー・エヌ・エー グループの情報セキュリティを統括。セキュリティ部創設のプロセスや社内にセキュリティを根付かせる苦労を綴った著書『DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』(日経BP社)がある。
ログ解析に関連した活動としては、ディー・エヌ・エーのインフラエンジニアとして、メール送信不具合の原因を究明するためのログ調査や、サイバーセキュリティ対策としてのログ解析も行ってきた。また、社外においてもログ解析の情報を広めるべく、日本シーサート協議会(コンピュータセキュリティにかかるインシデントに対処するための組織)においてログ分析のワークグループの主査も担当するなど多岐にわたる活動を行っている。
ディー・エヌ・エーではSOC(セキュリティオペレーションセンター)を社内に設け、インシデント対応を内製している。一般的にSOCは外部に委託することも多いが、なぜそうしなかったのか。そして、SOCの内製化をどのように実現したのだろうか。
茂岩氏によると、もともとSOCという機能の内製化を目的としていたわけではないという。2017年ごろに社内のセキュリティマネジメントを再定義したのが先だ。そこから、社内に足りないピースとしてSOCが浮かび上がった。
当時、アンチウィルスソフトやEDRなどからアラートが示された際、適切かつ安定的に処理する機能がなかった。そこで、「安定的にアラートを拾い、アクションに結びつける機能が必要だと考えた」と茂岩氏は振り返る。本来はアラートが示されたら即座に対処するのが理想かもしれないが、実行できる体制をすぐに整備することは難しい。だからこそ、茂岩氏は「まずは、アラート発生から1営業日以内にアクションを起こすことを目標にした」と説明した。
もともと茂岩氏は、ログ分析や機械学習についても興味を持っており、これらの技術からアラートを拾って対処できるような体制を構築したいという思いもあった。「最初は簡易的なものであっても、他人にまかせず、まずは自分でやるべき」と茂岩氏は語る。アラートが上がってきて、その重要度を判断して対処するのは自分たちである。SOCの機能を外部委託するのもいいかもしれないが、自分でやっていないと外注先の評価もできないし、適切な要望を出すこともできない。これらの考えから、SOCを内製化するという判断に繋がったという。
