自社SOC運用の課題

　 相手が休日や夜中にメールを送っても、すぐに帰ってきますし、時差のある電話会議では、お互いに深夜、早朝でもお構い無しに議論します。

　また、移動量も半端ないのです。私は日本担当なのですが、私以外はカバーする範囲が地球規模で広いので、とにかく常に飛行機に乗って移動しています。その合間にもスマホなどでもバンバンメールが飛んできます。

　こういう人たちと仕事をしていると、まだまだ私も頑張らないと、と思わされます。

　さて、そんな忙しく飛び回っているCTOの間で話題になっているのは「SOCの効率化」です。日本ではほとんど実装されていない自社運用のSOCの話題です。

　日本ではSOCはセキュリティ専門会社にアウトソーシングする流れがあり、自社の社員が膨大なログを監視して対応しているところはほとんどありません。アウトソースしているとしても、その多くが公開系サーバの監視です。つまり、IDS/IPSやWAF,Firewallなどが監視対象になっているのです。

　当社のようなマルウェア対策製品の監視、運用はまだまだこれから、といった企業が少なくありません。一方で、特に米国では既に自社でSOCをやっているところは珍しくありません。

　日米の大きな違いは「運用」であるといっていいでしょう。検知された攻撃に対処するためには、サーバやネットワークの管理者がセキュリティの知識や理解を持ちながら、正確に対処して行く必要があります。米国ではそれが実践されているのです。膨大なログの分析も自社で行うことが多いのです。特に、マルウェア対策となると、感染パソコンの隔離や調査、サーバログの確認など、内部LAN運用担当者との密接な連携が必要になります。

　日本では、監視は外部セキュリティ専門企業に任せて、異常があったら通知を受けて、サーバやネットワーク管理者が対応する、という流れになっています。この場合、対応できる内容は限られてしまい、不審なアクセス元の遮断や不正なコンテンツの削除などの対処療法が主なものになります。

　社内でセキュリティ監視を行うSOCを持つことによって、セキュリティチームとシステムの運用チームのコミュニケーションがスムーズになり、些細な兆候であっても積極的に調査や分析が行われるようになります．システムそのものも常にセキュリティ的に進化を続け、より強く、より速く異変を検知できるようになるのです。

　ところがそんな社内のSOCの悩みはコストです。コストの多くは人件費であり、人件費の多くは調査や分析に投じられています。この調査や分析を効率的に行えないか、という課題があるのです。調査や分析を効率的に行うことによって、限られた人的リソースでより早く、より正確に脅威を発見、防御することができるようになるからです。

　自らがSOCの運用者と利用者になることによって、より高度なセキュリティ人材が求められますし、育成することも出来ます。

　そのようなセキュリティのプロが社内に多い米国では、より効率的なログの分析やマルウェアの調査の方法が求められるために、そのニーズに対応した製品が次々と生み出されているのです。

　そのような製品が日本にも上陸するのですが、そもそもセキュリティのプロが社内に少ない日本では、プロが使いこなすための道具、としてではなく、素人でも導入すれば安全になる、という期待を受けてしまうのです。よく言われる「ポン付け」としてのセキュリティ製品が期待される訳ですが、そもそもがプロが使いこなすための道具なので、使用者の技術力も相当に求められるものです。

　米国ではそれでも現在の進化するマルウェアなどのサイバー攻撃に対抗するためには、もっと多くのデータをもっと短時間に分析することが求められているのです。そのことが我々CTOの間では話題になっているのです。

　日本では、ようやく自社SOCを持とうという気運が高まってきたところで、人材育成など課題が山積みです。そんな中でも、大陸方面からはサイバー攻撃が進化しながら続いています。

　私はこのような日本と米国の違いを理解しつつ、本社の経営陣に日本の現状やニーズを伝え、日本に適合した導入を進めることも仕事になっています。

　ファイア・アイは１月にMandiant社を買収しました。これにより、SOCにおけるセキュリティ運用を効率化し高度化する最先端の技術とノウハウを顧客に提供することができるようになったのです。

運用がキー！（CTOのメモより）