入社して感じたガバナンス強化の必要性、「Y-SOC」構築へ
塩崎氏が入社した2018年には、横河電機においてもセキュリティ事故が発生していた。当時、同氏は「拠点ごとにIT部門が存在していて、グローバルガバナンスが不十分である」と感じたという。IT資産管理やセキュリティ監視も全社統一されておらず、またIDS(侵入検知システム)監視を外部委託していたが、サイバー攻撃のタイムリーな検知、影響範囲の特定が難しかった。
そこで、2019年にセキュリティ監視を内製に切り替え、同年4月からインドのバンガロールにSOC(セキュリティオペレーションセンター)の設置を始めた。これが「Y-SOC(Yokogawa-Security Operation Center)」である。なお、バンガロールを選んだ理由については、利用していたElasticsearchのエンジニアを採用しやすかったためだという。同年12月には、主要7拠点のセキュリティ監視が行えるようになった。
また、2020年には、IT資産管理のためにServiceNowのITOM(IT運用管理)およびITSM(ITサービス管理)を導入して、SOCと連携させている。監視対象の拠点も15ヵ所に増え、ServiceNowのSecurity Operations(SecOps)を活用し、インシデントワークフローの自動化を実施。2021年にこれら第一段階にあたる整備が完了し、現在は外部向けのIT/OTのSOCサービスを提供するまでになった。
[画像クリックで拡大]
Y-SOCでは現在、横河グループのパソコンなどの端末機器やIDS、Active Directory、DHCP、DNS、メール、クラウドWAFなど幅広いデータを収集し、分析している。イベント数は1日あたり5~6億件、ログサイズは200~300GB(3ヵ月保存)に上る。その対象は、アンチウイルスをはじめネットワークやアクセスの挙動など広範におよび、Pythonで独自に検知プログラムを作成しアラートを発報させているという。
監視領域は、日本、シンガポール、欧州、中東、アフリカ、北米、インドの主要7拠点で開始し、現在は韓国、台湾、中国、ロシア、フィリピン、インドネシア、南米、豪州にも展開。これらのログを東京のクラウドセンターに収集、分析している。分析においては、Cyber Threat Intelligence(サイバー脅威インテリジェンス)のデータベースと突き合わせることで該当するものを検知することはもちろん、ログから挙動を分析しているという。
また、監視に使用しているダッシュボードは3階層構造になっており、全体表示では各拠点と各監視デバイスのアラート状況を一覧できるようになっている。その画面から拠点ごと、監視デバイスごとなどの項目に沿ってドリルダウンすることが可能だ。
[画像クリックで拡大]
なお、スレッシュホールド(しきい値)は、各データを機械学習による分析にかけることでSIEMを通じて設定される。これにより、時間帯や地域、通信量などが通常と大きく異なる場合、異常と判断することができる(振る舞い検知)。外部からのサイバー攻撃、悪意のある活動、内部関係者による脅威もいち早く検知できるようにしているという。
一方で、監視センターに限らずアラートからインシデントを作り、担当者に振り分けて何をしてもらうかが、大きな課題となっていた。こうしたインシデントワークフローは欠かせないものだが、マニュアルでのオペレーションには限界がある。そこで、前述したようにServiceNowのSecOpsでインシデント管理を自動化。さらにITOMと連携することで、CMDB(構成管理データベース)とSOCのアラートを照らし合わせ、脅威と影響度を判断できるようにした。なお、公開サーバーに対しては、Rapid7のツールを使って定期的に脆弱性診断を実施しており、その診断レポートもServiceNowのSecOpsに取り込んでいるという。
これらの対策により、Y-SOCで不正アクセスなどを検知すると、自動的にServiceNowのSecOpsとAPI連携してインシデントが生成される。インシデントは各資産のオーナー、地域に応じて振り分けられ、分析、封じ込め、根絶などのライフサイクル管理に沿って処理していく。こうした「SOAR(Security Orchestration, Automation and Response)」による対策も実現している。
[画像クリックで拡大]
上図のようにY-SOCやCortex XDRとServiceNow SecOpsはAPI連携されており、インシデントレポートが自動作成される。複数の脅威情報を参照して判定し、明らかな異常が見られる場合には、必要な情報(IOC)をセキュリティ製品にセットして通信をブロックする。こうしたSOARの自動化によって、不正アクセスの約7割を自動ブロックすることができ、インシデント対応の短縮化につながっているという。
さらに、MITRE ATT&CKと連携することで、実際に遭っている攻撃をマッピングしてヒートマップを作ることもできる。「ヒートマップによって、自分たちの弱いところや、次の攻撃の手法は何かなどと、分析を深めることができます」と塩崎氏。これらの情報を集計、分析し、毎月開催する情報セキュリティ委員会でレポートしているという。
