自社SOC運用の課題

EnterpriseZine / 2014年2月14日 0時0分

運用がキー!(CTOのメモより)

 ファイア・アイCTOの三輪です。この原稿を書いているのは中国の旧正月の休暇の時期にあたります。その影響か攻撃も静かに感じられます。ファイア・アイのCTOになってみて改めて感じたことは、外人もよく働く、ということです。私もそれなりに働く方だと自負していましたが、私以外のCTOも本当に良く働きます。

  相手が休日や夜中にメールを送っても、すぐに帰ってきますし、時差のある電話会議では、お互いに深夜、早朝でもお構い無しに議論します。

 また、移動量も半端ないのです。私は日本担当なのですが、私以外はカバーする範囲が地球規模で広いので、とにかく常に飛行機に乗って移動しています。その合間にもスマホなどでもバンバンメールが飛んできます。

 こういう人たちと仕事をしていると、まだまだ私も頑張らないと、と思わされます。

 さて、そんな忙しく飛び回っているCTOの間で話題になっているのは「SOCの効率化」です。日本ではほとんど実装されていない自社運用のSOCの話題です。

 日本ではSOCはセキュリティ専門会社にアウトソーシングする流れがあり、自社の社員が膨大なログを監視して対応しているところはほとんどありません。アウトソースしているとしても、その多くが公開系サーバの監視です。つまり、IDS/IPSやWAF,Firewallなどが監視対象になっているのです。

 当社のようなマルウェア対策製品の監視、運用はまだまだこれから、といった企業が少なくありません。一方で、特に米国では既に自社でSOCをやっているところは珍しくありません。

 日米の大きな違いは「運用」であるといっていいでしょう。検知された攻撃に対処するためには、サーバやネットワークの管理者がセキュリティの知識や理解を持ちながら、正確に対処して行く必要があります。米国ではそれが実践されているのです。膨大なログの分析も自社で行うことが多いのです。特に、マルウェア対策となると、感染パソコンの隔離や調査、サーバログの確認など、内部LAN運用担当者との密接な連携が必要になります。

 日本では、監視は外部セキュリティ専門企業に任せて、異常があったら通知を受けて、サーバやネットワーク管理者が対応する、という流れになっています。この場合、対応できる内容は限られてしまい、不審なアクセス元の遮断や不正なコンテンツの削除などの対処療法が主なものになります。

 社内でセキュリティ監視を行うSOCを持つことによって、セキュリティチームとシステムの運用チームのコミュニケーションがスムーズになり、些細な兆候であっても積極的に調査や分析が行われるようになります.システムそのものも常にセキュリティ的に進化を続け、より強く、より速く異変を検知できるようになるのです。

この記事に関連するニュース

トピックスRSS

ランキング