セキュリティ機関研究：IBM ISS 第3回 SOCのビジネスモデル

特集特集

2009年9月16日（水） 17時00分

　世界的な情報セキュリティの研究機関として有名なInternet Security Systems（ISS）。2006年にIBMに買収されたことも記憶に新しいところだ。IBMの1部署となったものの、世界各所で情報収集、分析を行うSecurity Operation Center（SOC）、情報の分析のほか機器へのフィードバックを行う研究機関であるX-Forceなど、その体制は従来通りに機能しているという。そこで今回は、日本IBMのISS事業部　テクニカル・サポート部部長である小倉秀敏氏、ISS事業部　営業推進部部長である遠藤直之氏、GTS　ITSデリバリー　セキュリティー・ソリューション　マネージドセキュリティサービスのチーフセキュリティエンジニアである井上博文氏にSOCについてお話をうかがった。

●24時間365日セキュリティ監視を行うSOC、日本のSOCは別格

─日本のSOCを中心に、体制や強みを教えて下さい

井上氏：SOCは以前お話しした通り、世界8ヶ所でグローバルに展開しています。全体で約3,700以上のお客様、約20,000台以上のデバイスを常に監視しており、マスとして状況を把握できることが特徴であり強みです。また、総合分析センターとなるX-Force GTOC（Global Threat Operations Center）に情報が集約され、各SOCと連携して分析を行っています。現状だけでなく、予兆を把握できることも特徴です。

　全世界のイベントを集約、分析し、得られた情報はX-Forceにフィードバックされ、フィールドの製品に反映されていきます。その一方で、各SOCにより地域ごとの状況を把握することもできます。実際の例として、2008年9月にSQLインジェクションによる攻撃が大量に発生した際には世界8ヶ所のSOCの中で日本のSOCが一番早く攻撃を検知しました。日本のSOCは世界各所のSOCおよびX-Forceと連携して攻撃手法を解析し、すばやくシグネチャに反映させました。

　もうひとつの強みは、SOCでデバイスの監視に加えインフラも監視し、さらに運用も行っていることです。この3本柱によって、インシデントの検出から製品へ対策を反映するまでのサイクルができあがっており、トラブルにもワンストップで対応することができます。稼働監視によって、お客様のビジネスを止めずにトラブルを未然に防ぐことができるのです。

　その他、お客様のFWやUTMといった機器の管理も行っています。ネットワーク部分も含めて、セキュリティを考慮した上で監視、管理し運用することができます。特にこのようなセキュリティ機器は、アップデートを始めとする運用部分がお客様にとって大きな負担となっています。SOCがこの部分を担当することで、お客様は最小の手間で高いセキュリティを維持することが可能になります。なお、SOCではIBM製品はもちろん、他社製品の検証も常に実施しています。

─SOCの具体的な業務内容やスタッフについて教えて下さい

　SOCの業務は、セキュリティ監視が中心で全体の約7割を占めます。残りの約3割がFWやUTM製品といったネットワーク機器の運用管理になります。日本国内でのアナリスト体制は24時間365日、スタッフが常駐していますが、特に日中、お客様に対応するスタッフを厚くしています。昼間だけのスタッフは、3ヶ月など長期的なスパンでお客様全体の状況を見ています。

　昼間だけのスタッフを配置しているのは、時間帯などによってお客様に対応するスタッフが変わってしまうことを防ぐためです。また、インシデントが発生すると、比較的長期なハンドリングが必要になります。そこで専用のチームを作り、専属の担当者をアサインして問題解決が完了するまでお客様に対応します。常に同じスタッフが対応することで、お客様に安心していただけます。

　SOCのアナリストは、独自の教育を受けます。入社すると「Proventia」などの製品についてトレーニング課で研修を行います。アナリストは運用の部分がベースとなるので、最初に運用について学びます。次にサポート部門で研修を行い、サポートの体験を通じて製品の知識をつけます。その後、SOCに入ることになりますが、お客様との会話や他社製品についてのトレーニングも行っていきます。

　セキュリティの分析といっても、アプリケーションやネットワークの知識が必須となるので、これらを身につけていき社内の試験を受けて認定をもらいます。一定のレベルに達したら「Proventia」を使って分析の方法を学んでいきます。ここからはOJT形式で事象ベースのトレーニングを行い、グループや個人で事象に対する分析や新たな脆弱性への対応などを学んでいくことになります。

─お客様の業務や規模などに傾向はありますか？

　世界約130カ国のお客様で監視を行っておりますが、全体の約1割が日本のお客様となっており、日本の比率が高くなっています。これは、海外はひとつの会社が多くの拠点を持っていることに対し、日本は拠点が集約されているためでしょう。お客様の業務や企業などによる大きな傾向はありません。以前は金融などセキュリティの関心が高い業種のお客様が多かったのですが、現在ではほとんどの業種でセキュリティに対する意識が高まったということでしょう。

遠藤氏：日本の企業はセキュリティに関する業務を外部に委託することについて、業種によりますが大手であっても比較的抵抗なく実施しています。特に米国などは自社ですべて行いますが、これは風土や意識の違いかも知れません。たとえば、米国では情報セキュリティ部門は社内の地位が高く、独自の予算を持ってセキュリティを構築し、先導しています。

　しかし、日本のセキュリティ部門はそうは見られず、IT部門の一部署であったり、中堅中小企業様などは総務部が兼任しているケースもあります。ただでさえセキュリティの技術者が少なく、スタッフを教育しながらセキュリティを維持していかなければなりません。そのためコスト削減という視点からもSOCに依頼するなどアウトソーシングに移行することが多いようです。SOCでも、単に機器の監視だけでなくセキュリティに関してアドバイスをするなど、専門的なことはSOCがリードしていくことが多くなっています。

─最後に、最後にSOCのビジネスモデルについて教えてください。

小倉氏：ビジネスモデルには三つの柱があります…

【執筆：吉澤亨史】

【関連リンク】
IBM - セキュリティー&プライバシー・サービス
http://www.ibm.com/services/jp/index.wss/itservice/igs/a1010214
X-Force セキュリティー・アラート＆アドバイザリー
http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1332685
SOC Report, Tokyo SOC Report
http://www.ibm.com/services/jp/index.wss/itservice_library/igs/a1010214
IBM ISS セキュリティー情報メール - Japan
http://www.ibm.com/services/jp/info/xpumail/index.html
IBM Internet Security Systems
http://www.ibm.com/services/us/index.wss/itservice/iss/a1030786
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》