今年に入ってから日本の企業や組織でも標的型攻撃による被害事例を耳にするようになった。5月には日本年金機構や東京商工会議所、6月には石油連合や香川大学医学部付属病院などが主にメールから感染した。多くは大規模な情報漏えいには至らないですんだものの、感染被害は後を絶たない。
シマンテック 執行役員 セールスエンジニアリング本部長 外村慶氏はこれらの被害における発見者について指摘した。どれも外部からの指摘で発覚しているのだ。発見したのはNISC、JPCERT/CC、民間事業者、警察など。「どこも自分で(被害を)発見できていないのです。自分で発見できなければ、何も対処できないままです」と問題視する。
シマンテック 執行役員 セールスエンジニアリング本部長 外村 慶氏
自力で発見し、対応できる体制にするということは内部でCSIRTを立ち上げ、運用する必要がある。CSIRTの意義については理解が広まっているものの、現実はCSIRTを持つには至らない企業が多い。NRIセキュアテクノロジーズの調査によると、CSIRTを「構築済み」は全体のわずか7.3%。
残りの内訳を見ると、CSIRTではないものの「情報システム部門などが類似機能を果たしている」のが34.5%。ほかは「構築中・検討中」が8.1%、「検討していない」が39.2%、「わからない」が10.3%。レベルは異なるものの、CSIRTを持たないということはセキュリティインシデントへの対応力が危ぶまれる。
外村氏はシマンテックの思いとして「すべての企業が自力で発見し、解決できるようになってほしい。そのための一歩として今回の取り組みがあります」と述べた。
一般企業がCSIRT、あるいはそれに相当する能力を持つには簡単なことではない。サイバー攻撃に関する全ての段階をカバーする機能や能力が求められるためだ。段階別に見るとまず「準備」から始まり、「防御」、「検出」、「対応」、「回復」まで。一般的には多くが目を向けるのが「防御」、アンチウィルス製品などを有するシマンテックがカバーできるところだ。加えてシマンテックは「検出」段階にあたるマネージドセキュリティサービスもカバーできる。
しかしそれだけでは全体をカバーできない。外村氏は「われわれはセキュリティに関しては深さはありますが、幅が足りません。まるっと全てをカバーできないのです」と正直に弱みを明かした。そこでシマンテックは顧客のシステムに精通し、かつ強いつながりを持ち、セキュリティ機器の運用実績やセキュリティ監視構成が可能なパートナーを模索した。結果的に要件を満たしたIIJがパートナーとなった。
IIJは顧客システムの運用面で強みがある。シマンテックとの協業についてIIJ ソリューション本部 セキュリティソリューション部 セキュリティソリューション課長 加賀康之氏からも説明があった。IIJは日本の商用インターネットでは草分け的な存在で、日本最大級のバックボーンを持つなどインフラ面で強みがある。IIJのインフラや運用能力にシマンテックの脅威情報を組み合わせることで、加賀氏は「100%アセットレスで提供可能なクラウド型SOC(セキュリティ・オペレーション・センター)サービスを実現できます」と話す。
IIJ ソリューション本部 セキュリティソリューション部
セキュリティソリューション課長 加賀 康之氏
いわゆるマネージドセキュリティサービスだ。加賀氏はIIJの統合セキュリティ運用では他社マネージドセキュリティサービスから一歩進んだサービスが提供できるという。他社サービスだとログの収集、解析(相関分析)、通知までとなるところ、IIJなら初期のインシデント対応までも行えるという。
最近の実例だと、IIJの管理下にあるネットワーク環境において顧客の社内PCから外部の不正サーバー(C&Cサーバー)との通信を検知したことがあった。IIJは顧客に通知して協議の上で通信を遮断するという形で初期のインシデント対応を行った。
加賀氏は今回の協業にて「単なる通知サービスにとどまらない本当の意味でのセキュリティ対策が可能となります」と述べた。「本当の」という部分は単に脅威を検出して通信を遮断するというオペレーションだけにとどまらず、膨大な脅威情報も含めた全体を通じたセキュリティ対策で顧客に最善策を提供することも含まれているようだ。
あらためてシマンテックの強みは何かと考えると、セキュリティについて保有している専門知識や脅威情報となるだろう。脅威情報に関しては3.5兆件ものデータを保有しており、刻一刻とデータは増え続けている。外村氏は「世界最大のセキュリティ・ビッグデータ」と胸を張る。そして膨大な脅威情報やこれまで培った知見による高いインシデント検知能力もある。
最後にシマンテックのSOC体制について同社 マネージドセキュリティサービス 日本統括 滝口博昭氏が説明した。シマンテックSOCでは日本を含めて世界で5拠点あり、400名のセキュリティエンジニアが運用に携わっている。運用実績は17年と長い。
独自かつ特徴的な役割としてハッカーの動向調査を行うチームや相関分析ルール運用を作成するチームがあるという。これにより常にセキュリティトレンドを把握し、次にハッカーが何を行うか見当を付けたり、様々な情報をパズルのように組み合わせて相関分析ルールを研ぎ澄ませていく。滝口氏は「アンチウィルス製品だけではなく、SOCの拠点を持ち、情報を解析できるチームを持つなど、ここまでカバーできているのは弊社だけです」と自負を見せた。
シマンテック マネージドセキュリティサービス 日本統括 滝口 博昭氏
ところでマネージドセキュリティサービスのビジネスとしての側面はどうか。日本におけるデータセンター市場の成長性を見ると、全体ではほぼ横ばいという状況にある(総務省調査より)。ただし内訳をみると、大規模センターのみが3.2%の成長をしており、それ以外のシングルサーバー、ラック/コンピュータルームなどではマイナス成長となっている。
外村氏は大規模データセンターが成長している点と、先述したCSIRTの準備状況を合わせ「多くの顧客は大規模データセンターにインフラやアプリケーションだけではなく、セキュリティも合わせてお任せしたいと思っているのではないだろうか」と商機を見いだしているようだ。
