フルスペックで最高の安心をお届けする、PFUのセキュリティオペレーションセンター
~メーカーでありSIerでもあるからこそ、提供できるサービスとは~

2020.5.19

セキュリティオペレーションセンター(SOC)は、情報システムをサイバー攻撃から守る役割を担う。巷には多くのSOC事業者が存在するが、その成り立ちや事業形態はさまざまだ。セキュリティ監視の専業事業者もいれば、セキュリティソフトのメーカーやデータセンター事業者が監視サービスを提供しているケースもある。
そのなかで、PFUはSOC事業者としてフルスペックサービスを提供している。脅威の検知はもちろんのこと、アナリストによる詳細な分析、リモート監視、さらには、いざというときのオンサイト駆けつけ対処まで、サイバー攻撃に対する「困った」にすべて対応している。
こうしたフルスペックなサービスを提供できるのは、PFUが、セキュリティ機器をはじめとするハードやソフトを開発するメーカーであり、さまざまな情報システムを構築するSIerでもあるからだ。
PFUのSOC部門の統括者である唐木雅文(カスタマサービスマネジメント事業本部UMC事業部ネットワークセキュリティサービス部担当課長)は、「メーカーでありSIerでもある当社だからこそ提供できるサービスがある」と自信を見せる。PFUならではのフルスペックサービスの特徴について、話を聞いた。

第1回 「脆弱性攻撃」から「標的型攻撃」まで~インターネット黎明期から培ってきたPFUのセキュリティ技術~
第2回 多様化・高度化する「標的型攻撃」に備えよ!~未知のマルウェアをも検知する画期的な技術~
第3回 外部に送られた謎のメールの送り主は……~企業の「困った」を助ける「緊急対応支援」サービス~
第4回 フルスペックで最高の安心をお届けする、PFUのセキュリティオペレーションセンター~メーカーでありSIerでもあるからこそ、提供できるサービスとは~
第5回 中小企業でも“0円”でできる!サイバーセキュリティの基本 ~日本をサイバー攻撃から守るために~

ネットワークだけでなく、端末も強固に守る

PFUのSOCは、顧客の情報システムのセキュリティを、24時間365日、遠隔監視している。情報セキュリティの基本は大きく二つある。ひとつは、ネットワークの出入り口に適切な蓋をすること、もうひとつは端末を強固に守ることだ。

前者のネットワークを入り口で守るのが、ファイアーウォールのようなネットワークセキュリティ機器である。だが、サイバー攻撃が多様化・高度化するに伴い、ファイアーウォールだけでは防ぎきれなくなっている。そこでセキュリティ各社は、ネットワークの水際で攻撃を防げるように、「次世代ファイアーウォール」や「UTM(Unified Threat Management:統合脅威管理)」と呼ばれるネットワークセキュリティ機器を展開している。
だがそれでも、攻撃のすべてを防ぎきるのは難しい。その典型例が「標的型攻撃」だ。組織内の特定の個人を狙い撃ちしてなりすましメールを送りつけ、ネットワーク内への侵入と端末への感染を試みるマルウェアが増えている。

では、端末のセキュリティをどのように守るのか。そのための手段のひとつが、ウイルス対策ソフトになるのだが、それとて標的型攻撃対策としては万全ではない。というのも、標的型攻撃で仕込まれるマルウェアは、ウイルス対策ソフトのパターンファイルに定義されていないことが多いからだ。パターンファイルにないマルウェアは、容易に端末に感染する。そうなってはもはや対処は難しく、情報を外部へ送信されるなど、端末が大きなリスクにさらされることになる。
そうした事態に対処するため、近年注目されている端末セキュリティが「EDR(Endpoint Detection and Response:端末での検出と対応)」と呼ばれるものだ。端末(主にPC)で何が起きているか、端末内での操作や動作を記録・監視することで、マルウェアへの感染を発見して対処を試みるものだ。

SOCでは一般的に、ネットワークレベルでセキュリティを監視しているところが多い。そのなかで、PFUのSOCはEDRにも対応し、ネットワークと端末の両方のレベルで、セキュリティを監視するのが大きな特徴のひとつだ。
「当社は富士通のグループ会社で、グループ内にもSOCをサービスとして提供している企業は複数あります。ただ、いずれもネットワーク監視までで、EDRまで手掛けているのは当社ともう一社しかありません。端末のセキュリティをきめ細かく監視することで、サイバー攻撃のリスクを大きく減らすことができます」と唐木は説明する。

ネットワーク監視では、ネットワークを流れる怪しい動きを捉えるが、個々の端末で何が起きているかまではなかなか把握することができない。
「例えば、お客様企業の社員の方が不正なメールを開いてしまった場合でも、そこに仕込まれていたマルウェアが起動すると、EDRの機能でそのプロセスを検知することができます。端末には、端末内での操作や動作を逐一モニターするソフトウェアをインストールしておき、怪しい動きがあったときは、PFUのSOCにアラートを送るようになっています」

自動化プログラムとアナリストによる分析で、リスクをランクづけ

このようにして、PFUのSOCでは、ネットワークと端末の両方を監視している。監視対象のネットワークセキュリティ機器や端末から上がってくるアラートは、月2万件ほど。そのうち、「実際にリスクがあるもの」として顧客に報告するのは月500件程度だ。PFUでは、どのようにしてアラートをフィルターし、リスクを評価しているのだろうか。
その答えは、自社開発の自動化プログラムと人の手による2段階のフィルターだ。まず、プログラムがアラートのリスクを評価してフィルターし、そのあとでアナリストがログを詳細に分析して最終的な判定を下す。
「当社は、2015年からSOCのサービスを提供しています。5年に及ぶノウハウの蓄積をもとに、上がってくるアラートを自動でフィルターするプログラムを開発しています。SOC開設当初は、アナリストが一つひとつのアラートに細かく向き合ってきましたが、センターを継続して運営してきたことで、アラートにはパターンがあることや、何が本当にリスクのあるアラートかの目算がつくようになりました。そのノウハウをプログラムで自動化しているわけですが、こうしたツールを内製できるのは、SOCの運営ノウハウに加え、セキュリティ製品をつくるメーカーとしての技術力があるからです」

自動化プログラムでは、2万件のアラートが1,500件ほどに絞り込まれる。そこからは、既知の事象か新規の事象かで対応が分かれる。前者については、自動化プログラムにより顧客報告用の回答を作成するのに対し、後者についてはアナリストによる分析で、「実際にリスクがあるもの」を選別し、リスクの度合いを評価して顧客に報告している。

「上がってくるアラートは、白黒はっきりつけられないグレーなものがほとんどです。それをすべてお客様に報告しても、お客様では判断を下すのも対処するのも困難です。例えば、端末に仕込まれたマルウェアが、インターネット上のサイトからファイルをダウンロードしてくることがありますが、人間がウェブサイトにアクセスしても、同じようなことが起こります。それがマルウェアによるものであるかどうかを評価するには、単にログの流れを見ていても分かりません。そのサイトが安全なサイトなのか、ファイルの中身に問題はないかなど、アナリストの目で非常に細かな点を分析してリスクを評価し、“実際にリスクがあるもの”と、“怪しく見えるけれど実はリスクがないもの”を選別・ランク分けしています」

過去には、笑い話のようなこんな事例もあった。端末から上がってきたアラートを見ると、あるサイトからファイルをダウンロードしていた。アナリストがログを詳しく分析してみたところ、アクセス先が転職サービスサイトで、ファイルがエントリーシートだったことがあったのだ。これは、アナリストが介在していなければ分からなかったことである。

ここで見た、自動化プログラムとアナリストの分析による2段階のフィルターこそ、PFUのSOCの二つ目の特徴であり強みである。
「圧倒的なコストパフォーマンスでサービスを提供できるように、私たちはアナリストの技術力強化に特に力を入れています。自動化プログラムを開発しているのもアナリストたちですし、アナリストの分析力が高まれば、そのノウハウを自動化プログラムに活かしていくことができます。お客様に、より有用なサービスを提供できるように努めています」

メーカー、SIerの顔も持つからこそ、オンサイト駆けつけも可能

そして、PFUならではのSOCの最大の特徴ともいえるのが、オンサイト駆けつけが可能な保守部隊を全国各地に持つことである。
「私たちがお客様のネットワークや端末から脅威を検出した場合、基本はセンターからリモートでできる対処を行います。ネットワーク機器のところで、脅威を検出した端末との通信を遮断したり、端末で動いているマルウェアのプロセスを止めたりするようなこともあります。また、端末でマルウェアを検知した際は、端末からマルウェアを削除するのが最終的な解決策となります。そういうときは削除の方法をお客様にお伝えし、お客様の側で対処をお願いしています。ただ、なかには非常にリスクの高いマルウェアもあり、リモートやお客様の側で対処できないこともあります。そういうケースでは、当社のサービス部隊がお客様のところにオンサイトで駆けつけて、現場で必要な対処をします」

PFUは、もともとセキュリティ製品をつくっているメーカーであり、セキュリティ関連のシステム構築を手掛けるSIerでもある。そのため、顧客のところにオンサイト駆けつけ可能なサービスエンジニアが全国各地に配備されている。これは、いざというときに大きな助けになることだろう。
「オールPFUで社内のリソースを総動員して、全方位でサービスを提供できるのが当社のSOCの大きな特徴です。日本中にSOC事業者は数あれど、アラートの検知だけでなく、アナリストが分析までして、リモートさらにはオンサイトで対処ができる事業者はそういないはずです。私たちは、お客様にフルスペックで安心をお届けしています」

SHARE