IIJ SOCと「運用」

【IIJ 2024 TECHアドベントカレンダー 12/9の記事です】

本記事ではIIJセキュリティオペレーションセンター（以下、IIJ SOC）における運用について、その概要をご説明します。本記事は概要を説明しており、各担当部分の詳細にまでは触れていません。詳細は今後記事にするかもしれませんし、本記事への反響が無かった場合はしないかもしれません。

IIJ SOCにおける運用

一言で「運用」と言われると、読者の皆さんはどのようなものを思い浮かべるでしょうか。ネットワークを主軸に活躍されている皆さんはネットワークの構成管理・監視・障害対応などを思い浮かべるかもしれませんし、フロント対応をされている皆さんはお客様や社内とのコミュニケーションをする役割を思い浮かべるかもしれません。同じ「運用」という言葉にも、様々な意味や役割があります。

IIJ SOCにおける「運用」には、主に表1のものが含まれます。

表1. IIJ SOCにおける運用

SOCセンター運用	リアルタイムにセキュリティインシデントを監視・対応
ルール運用	インシデントを検知するための仕組み（ルール）を作成・管理
脅威ハンティング運用	未発見のインシデントを能動的に調査
インフラ運用	アナリストが使用するシステムやデバイスのログ受信をおこなうためのシステムを管理
アカウント運用	お客様とIIJ社内をつなぐ役割
サービス運用	サービス全体を統括
ビッグデータ運用	広範囲のデータにおける調査より未発見のインシデントを調査

「運用」と付く役割にも様々なものがあることがご覧いただけるかと思います。

各「運用」の役割

ここから先は、各運用で実施していることを簡単に記載していきます。

SOCセンター運用

SOC監視システムが監視対象デバイスのログを受信し、それに基づいて発行されるチケットの内容をアナリストが24時間体制で確認し、必要に応じてお客様にご連絡する運用です。一般的に「SOC」と言うとこの運用がイメージされるのではないかと思います。SOCセンター運用は、IIJセキュリティオペレーションセンター（図1）でおこなっています。

IIJ SOCでは予め作成したルールに該当する挙動を発見した際にはそれをチケット化し、チケットの内容及び監視対象デバイスから受信したログの内容に基づきその詳細を調査しています。調査内容は状況により様々ですが、その結果はチケットに記載し、判定したインシデントレベルによってはお客様にメール通知・電話でご連絡しています。また、お客様環境に脅威を及ぼす可能性がある通信を遮断するために、一部IIJサービス機器に対して設定変更を実施する場合もあります。この調整もSOCセンター運用で実施しています。

図1. IIJセキュリティオペレーションセンター

ルール運用

前述の通り、アナリストはSOC監視システムが発行したチケットの内容について調査します。ルール運用は、そのチケットを発行する条件となる、各種ルールを作成・管理する役割を担います。また、IIJ SOCではインシデントを検知するための脅威情報（セキュリティインテリジェンス）を多く保有しており、それをルールに適用させたり、その情報を最新化したりすることも本運用に含まれます。ルールやインテリジェンスはアナリストの調査の起点となるものであり、その精度がSOC運用の品質に直結するため、SOC運用の肝となる部分でもあります。

ルール運用は新規に発見されたセキュリティ事案をSOC監視システムが検知できるよう、ルールの作成から始まります（図2）。担当メンバは情報を常にキャッチアップし、自然言語で書かれたレポートなどをルールの形に落とし込むことが求められます。またルールは作成すれば終わりではなく、動向の変化やお客様環境固有の理由などにより生じる誤検知を理由としたチューニングが必要です。中には古くなったルールを維持し続けることがSOC監視システムの負荷を増大させることにつながるため、古いルールを統廃合することもあります。そして、単にルールを操作するだけでなく、チューニングのためにルール運用においてお客様ログを調査し、その検知状況を確認することや、適宜ルールの内容を変更するための機械的な仕組みを作ることもあります。前述の通りルールはSOC運用の品質に直結するものであり、より最新の情報に基づき、アナリストに適切な情報を提供するために、さまざまな仕組みを用意しています。

また、独自のインテリジェンスを得るために、脆弱性の調査やマルウェアを解析することがあります。それらの結果もルールなどで使用しています。

図2. ルールのイメージ

脅威ハンティング運用

IIJ SOCではセキュリティインシデントをリアルタイムに監視する体制がありますが、残念ながら一部のインシデントはリアルタイムに発見できないことがあります。リアルタイムに発見できない理由は様々ですが、例えば長期間に渡る攻撃者のアクティビティをもって初めてインシデントとなる場合や、検知するための条件が判明したのがその攻撃を受けた後で、当時はリアルタイム検知で異常と判断されなかった場合などが挙げられます。そのような脅威をインシデントとして検出し、対応するために、脅威ハンティング運用をおこなっています。

脅威ハンティング運用はルール運用と同様に、最新の脅威情報に追従していく必要があります。担当メンバは脅威となり得る情報を常にキャッチアップし、その時の情勢や設けたテーマに基づき、監視対象デバイスのログを調査します。調査の結果としてインシデントが発見された際は、その旨をお客様へお知らせし、対応をご提案しています。

インフラ運用

IIJ SOCにおける監視運用では、SOC監視して有無が監視対象デバイスからログを受信し、その内容から発行されたチケットに基づきアナリストが分析をしています。監視対象デバイスからログを受信する仕組みの開発・管理や、アナリストがそのインシデントの情報を確認するためのユーザインタフェースを開発・管理することがインフラ運用です。

インフラ運用の役割は多岐にわたり、まずは監視対象デバイスからログを受信できる状況を構築します。これはIIJの設備内にあるシステムのほかに、お客様環境に設置されているデバイスからログを受信する際に使用する、個別ログ収集モジュールと呼ばれるホストも含みます。次にSOC監視システムがログの内容を理解できるよう、ログをパースします。ここでのパースとは複数の異なる監視対象デバイスのログに含まれる日時・URL・ユーザ名・ハッシュ値などの情報を抽出し、同様に扱えるようにすることを指します（図3）。これにより異なる監視対象デバイスのログから抽出した情報を並列で扱うことが可能となり、各デバイスを関連付けて分析する「相関分析」ができるようになります。また、それらのログや抽出した情報を閲覧するための端末・ネットワーク・ユーザインタフェースなどの管理もインフラ運用にて対応しています。

図3. パースのイメージ

アカウント運用

IIJ SOCにおいてセキュリティインシデントを発見した際には、その内容をアナリストからお客様へご連絡しています。ご質問などにはお答えしていますが、IIJ SOCはシェアードサービスであり、アナリストではお客様からの細かいご要望にはお応えできない場合もあります。そのような際によりお客様の環境や体制を理解した上で対応するための、アカウント運用があります。

まず、アカウント運用は新規にサービスをご契約いただくお客様の導入の窓口となります。お客様環境の構成をお聞きし、その内容をIIJ SOCの各チームに共有したり、IIJ SOCからの疑問点をお客様に確認したりする役割を担います。次に、運用開始後のお客様からのお問い合わせにお答えしたり、日々の状況を把握したりします。月次報告オプションをご契約いただいているお客様には対面又はオンラインで毎月の監視状況をご報告しており、その際に質問やご要望をいただくこともあります。そして、有事の際にはお客様の対応支援をおこないます。お客様環境を理解した上でセキュリティインシデントに速やかに対応し、事態の収束に取り組む役割です。

サービス運用

IIJはお客様に、「IIJ C-SOCサービス」としてSOCサービスをご提供しています。サービス仕様の検討および推進、オプションの新規開発や変更、個別対応が生じた際に各運用チームに方向性を提示するなど、いわゆる「主管業務」をおこなうことが、サービス運用の役割です。また、IIJ C-SOCサービスはお客様にご契約いただいている他のIIJサービスからのログを受信していることから、連携サービスとの調整をおこなうなど、IIJとしてご提供しているサービスの形を考えることもこの運用の役割です。

サービス運用の対応内容は多岐に渡りますが、まずはサービスの主軸となるサービス仕様を検討および推進することがその役割です。IIJ SOCはシェアードサービスであることから、対応の方法や方針に一定の基準を設けており、その基準を策定したり日々の運用がそれに則っていることを確認したりすることがこの役割です。次に、オプションの新規開発や変更もサービス運用の役割です。セキュリティのトレンドやお客様からの要望は常に変化していくものであり、その変化に合わせてサービスも変化していくことが求められます。その変化や対応をしていくことも、サービス運用中で求められます。そして、個別対応が生じた際の方向性の策定・提示もサービス運用の役割です。先述の通り、IIJ SOCは対応の方法や方針に一定の基準を設けていますが、その基準に定めていない状況や都度相談が必要な事象が発生した際には、サービス運用で判断した上で各運用チームに方針を提示しています。

ビッグデータ運用

IIJではお客様環境に対してセキュリティ監視をご提供するIIJ C-SOCサービスのほかに、情報分析基盤を用いたデータ解析をおこなっています。情報分析基盤ではIIJ C-SOCサービスのご契約有無とは関係なく、情報の利用に同意いただいた、対象となるIIJサービスをご利用いただいているお客様のログ情報から新たな脅威情報を発見し、その結果をIIJ設備で使用させていただくことでお客様のセキュリティを向上させるための取り組みをおこなっています（図4）。そのデータ量は膨大であることから、ここではこの運用を「ビッグデータ運用」と呼びます。

ビッグデータ運用では、分析のための仕組みをアナリスト自らが作成しており、それを自分たちで運用しています。データ量が膨大であることから単純に検索するのではなく、データ分析に関する論文に基づき仕組みを実装したり、自分たちで手法を考案したりしています。その解析結果は一部IIJサービス内で使用しており、お客様環境のセキュリティ向上に役立てています。例えばお客様環境への攻撃を早期に発見したり、マルウェア感染などによりお客様環境から発生してしまっている攻撃通信を発見し、それをお客様へお伝えする場合があります。そして、情報分析基盤を用いて毎月の通信傾向を確認し、wizSafe Security Signalというブログサイトに公開することで、分析結果を発信しています。分析結果を発信することで、IIJのお客様であるかどうかに関わらず、対策などにご利用いただけることを目指しています。

図4. 情報分析基盤のイメージ

まとめ

本記事ではIIJ SOCにおける「運用」の概要を記載しました。概要ですのでそれぞれの担当範囲を数文で記載していますが、実際はそれぞれで一つの記事を作成できる程には様々なことを実施しています。役割の分担方法は一つではなく、IIJ以外の他のSOCでは全く異なる分担をしているかもしれません。こういう分け方もある、という例として捉えていただければと思います。