UTM や WAF、EDR、XDR といったさまざまなセキュリティ製品があるが、導入しただけでは十分に効果を発揮できない。各製品が発するアラートを集約し、分析し、本当に深刻な事態につながる恐れがあればエスカレーションしていくといった運用が不可欠だ。
主にその運用を担ってきたのが SOC(Security Operation Center)という組織だ。24 時間 365 日体制でアラートを監視し、必要に応じてルール・ポリシーにチューニングを加えることで、環境を安全に保っていく役割を果たしている。
ただこの SOC、回していくにはかなりのリソースが必要だ。ログ・アラートの集約基盤を構築する必要がある上に、規模にもよるが、24 時間 365 日体制で監視を行うとなると、セキュリティに関する知識を持った人員を十数名集める必要がある。セキュリティ人材不足が叫ばれる中、アラートの切り分けや優先順位付けを適切に行える知識やスキルを持ったエンジニアを複数集めるのは、そう簡単ではない。
そんな中でも何とか自社内でプライベートSOC を構築し、内製で運用している企業もあれば、外部のセキュリティベンダーやシステムインテグレーターが運用する商用SOC に委ねるケースもある。それぞれ、どんなメリットやデメリットがあり、どう使い分けるのがいいのだろうか。
ヒントの一端を示してくれるのが、GMOインターネットグループ(GMOグループ)だ。グループ全体を監視するプライベートSOC を北九州の拠点で運用しつつ、グループ会社の一員としてセキュリティ専門サービスを提供しているイエラエの商用SOC も併用し、よりよいセキュリティ運用の実現に取り組んでいる。
「IERAE DAYS」では、イエラエのサイバーセキュリティ事業本部執行役員兼SOCイノベーション事業部部長の阿部慎司氏と、GMOインターネットグループ株式会社のシステム統括本部インフラ・運用本部 ソフトウェア・仮想化技術部で SOCチームのリーダーを務める濱本直樹氏が、「イエラエが考えるプライベートSOC と商用SOC の新しい関係」と題して内製SOC と外注SOC のコラボレーションについて語った。
●GMOグループは「こんなに守りにくいものがあるのか、というくらい守りにくい」?
長くセキュリティ業界に携わってきたイエラエだけに、百戦錬磨と思いきや、意外なことに阿部氏から見て GMOグループは「怖い」存在だという。
GMOグループは、お名前ドットコムやムームードメイン、VALUE-DOMAIN といった複数のドメイン事業を展開しており、ドメイン名登録業務では国内 8 割以上と非常に高いシェアを誇る。同様にホスティングサービスに関しても国内 6 割近いシェアを持っている。
「GMOグループはサイバー空間において非常に広大な資産を持っており、これらをインフラとして支えなければいけません。仮に、ドメイン事業で乗っ取りなどのインシデントが起きると、8 割は GMOグループがからんでしまうことになります。守る側からすると非常に大変で、怖いなと感じます」(阿部氏)
多種多様な顧客を対象にしていることも、困難さを高めているという。「ドメインビジネスにしてもホスティングにしても、B2B だけでなく、個人事業主や趣味のサイトでの利用など、C(コンシューマー)に近い顧客も多くあります。大規模なエンタープライズもいればコンシューマーもおり、セキュリティに対する姿勢や意識がまったくバラバラな点も難しいと感じるところです」(阿部氏)
加えて、そもそも GMOグループ自体が、上場 10 社を中心に、のべ 110 社以上に上る大きなグループ体となっている。中には大規模な企業もあれば十数人規模の会社もあり、ここでもやはり、セキュリティ体制や予算がばらばらという課題がある。
阿部氏は「10 年以上にわたってセキュリティ運用を通していろいろなお客様を見てきましたが、正直に言って、こんなに守りにくいものがあるのかというくらいいろんなパターンがあります」と、難易度の高さを説明した。阿部氏は前職の NTTコミュニケーションズ時代に同社の SOC サービスを、APT などの攻撃の質の変化に合わせてアップデートした際、最重要キーパーソンの一人として活躍した人物。
この守りにくい GMOグループを、イエラエの SOC と GMOインターネットグループのプライベートSOC はどのように守っているのだろうか。
まず、イエラエの代表取締役社長である牧田誠氏が GMOグループの CISO も兼ね、グループ全体のセキュリティに関して責任を持つ立場として取り組んでいる。そして施策面では、GMOインターネットグループのセキュリティ対策室がグループ全体のガバナンスを統括する役割を担い、イエラエのアドバイスを得ながら、今後のセキュリティ戦略立案やガイドラインの作成、リスク判断などに当たっている。
一方実務面では、各グループ会社のシステム担当やセキュリティ担当とイエラエが連携し、より専門的なスキルが求められる脆弱性診断やペネトレーションテスト、インシデントレスポンス支援やフォレンジック対応、教育をともに進めていく形だ。ISOG-J の「セキュリティ対応組織の教科書」で説明されているカテゴリも参考に、組織的なセキュリティ対策を進めている。
阿部氏によると、GMOグループの場合、対策は大きく「会社そのものを守る」ためのものと、「サービスを守る」ためのものの二つに分類できる。
会社を守る取り組みは、ほかの多くの企業と同様だ。社員が利用する端末を保護したり、社外のクラウドサービス利用時のルールを定めて周知するといった対策を通して、侵害や情報漏洩を防いでいく。
一方、サービスを守る場合は観点がまったく異なってくる。GMOインターネットグループでは、ホスティング環境自体は自社サーバを用いて提供しているが、コントロールパネルなど一部のサービスに関してはクラウドサービスへの移行を進めている。つまり「サービスのインフラとしてクラウドを組み込んでいくという観点になるため、守り方が全く異なってきます」(阿部氏)。そこで、サービスを守るためのガイドラインを GMO の対策室と協議しながら新たに作成し、サービスを守ることと会社を守ることの両立を図ってきた。
●機動性やコスト、目的に応じて棲み分け、効果を発揮している CloudFlare WAF の運用
このようにさまざまな側面で協力しながらセキュリティ対策を進めているが、イエラエの SOC と GMOインターネットグループのプライベートSOC が最も密接に連携しているのが、Cloudflare の WAF の運用だ。
イエラエが GMOグループの傘下に入った当初は、「自分たちの仕事がなくなるのではないか」という懸念もよぎったという濱本氏。その後、手探りで少しずつ関係性を築いていき、二年あまり経った今、「お互いに気持ちいいポイント」が見えてきたという。
GMOインターネットグループでは「お名前.com」「ConoHa」「GMOとくとくBB」「Z.com」など多種多様なサービスを提供している。それらの前面に Cloudflare の WAF を導入し、入り口部分の守りを固めている。「元々、各種サービスサイトが持っている Webサイトへのアクセスログや各種サーバの OS のログは、SIEM製品に集約し、内製の SOCチームで分析をしてきました。一方、Cloudflare の WAF のログはイエラエの SOC に転送し、攻撃のブロック状況、検知状況を分析し、本当にクリティカルな状態が発生している場合には内製SOCチームに連絡をもらっています」(濱本氏)という形で協業している。
さらに、毎月の検知状況をレポートにまとめて可視化し、共有するほか、もし CloudFlare の WAF をすり抜けてオリジンサーバに到達した攻撃を内製SOC側で見つけた際には、すぐにイエラエSOC に連絡し、専用ルールを作成して防御を改善している。
イエラエの SOC と GMO の内製SOC が提供する役割には、SIEM による分析や脆弱性診断など、重複する部分がないわけではない。だが、機動性やコスト、そして「何に特化するのか」といった目的に応じて以下のように棲み分けを行っている。
すなわち、Cloudflare の WAF に関しても、「監視対象ドメインの追加といった作業の場合、DNS の設定変更も必要になるため、GMO の内製SOC で行っています」(濱本氏)。一方イエラエは、カスタムルールの作成や特定の攻撃の検知といった、より防御を高めるための対応に取り組んでいる。「ISOG-J のセキュリティの教科書でいうところの基本運用を GMO の内製SOC が行い、イエラエが高度運用を行っている形です」(阿部氏)
こうして、互いに協力しながら運用することで得られるメリットがいくつかある。
イエラエSOC は、GMOグループ以外の幅広い顧客に対しセキュリティ監視を行ってログやデータを収集し、知見を蓄積してきた。さらに、定例ミーティングの場では、GMOグループ側からの「こんなログが出たけれど何だろう」といった相談を受け、セカンドオピニオン的にアドバイスを行うこともある。そうしたさまざまな知見をカスタムシグネチャに入れ込むことで、互いの知見を高め合い、同時に、より強固な守りに展開できているという。
「以前は他ベンダーを利用していましたが、サービスをすべてお任せしていることから、こちら側から踏み込んで提案や会話をする余地があまりありませんでした。しかしイエラエとは、ほぼ毎週のように定例でいろいろとお話ししています」(濱本氏)。セキュリティ業界の動向や脅威の情勢に関する情報も共有できている。
カスタムルールの作成にしても、依頼から作成までのスピーディーさや精度に驚かされることが多い。「クリティカルな脆弱性が発覚したとき、これはまずい、すぐに止めなければと依頼したところ、一日とかからずにルールを作成してもらい、即時防御に回すことができました」(濱本氏)。こうしたサイクルを繰り返すことで、今では、ごくまれな攻撃でもない限りオリジンサーバに到達することなく、その手前の WAF でブロックできているという。
イエラエ側にとっても、GMOインターネットグループという広大な空間を監視することで、より多様な攻撃を収集でき、防御力の強化につながっていると感じている。「GMOインターネットのインフラを狙うありとあらゆる攻撃の知見を得て、それをサービスに転嫁し、ほかのお客様に展開できるという意味でも、お互いにいい動きができていると思っています」(阿部氏)
コラボレーションを通して、内製SOC ならではの強みも見えてきた。
一つは、自社の環境や開発状況を把握していることだ。「万一攻撃のアラートがあっても、それが何らかの作業の影響によるものか、それとも実際に攻撃に遭ったのかの判断を下すのは、内製SOC の方が早いと考えています」(濱本氏)。開発チームとも、また経営層とも近い距離にあるため、スピード感を持って取り組めることも利点だ。何より、「過去に起こったインシデントも把握しているため、動きやすいところがあります」と同氏は強調した。
阿部氏も、「開発者に対して、いきなり『こんなことが起きているからどうにかせいや』と言っても、『何にも知らないくせに』と反発されがちです。どんなサービスも、いろんな思いを持ち、いろんな経緯を経て作られています。そうした事情がわからないと、ただの机上の空論になりかねません」と濱本氏の意見に同意し、ステークホルダーとのしっかりとした関係性に基づいて、泥臭い部分も含めて現実的にどうしていくべきかを議論し、落とし込んでいける点が内製SOC ならではの強みだとした。
●リサーチで収集した情報を通知し、テイクダウンにつなげて Abuse対応を支援
イエラエの SOC と GMOグループの SOC は、Abuse対応 ── いわゆる外部からの迷惑・不正行為に関する問い合わせ対応においても協力している。
ドメインやホスティングサーバといったインターネット上のリソースは、サイバー攻撃者にも悪用され、スパムメールの送信元や攻撃の踏み台になることがある。そうした悪用に関する通報を受け付け、テイクダウンなどの対処を行うのが Abuse対応で、GMOインターネットグループではグループ横断でもうけられた「事務局」が受け付け、対応することになっている。
何度も触れたとおり、GMOグループのドメイン事業やホスティング事業におけるシェアは高い。母数が多いため悪用されるケースも少なくなく、「二年ほど前までは、Spamhaus がまとめているドメイン提供会社の悪用ランキングに、GMO が載ってしまうこともありました。これはよくない、やはり提供するからには健全な、まっとうなサービスでありたいということで、Abuse対応を進めました」(濱本氏)
たとえばイエラエでは、攻撃者が取得し、悪用されたドメイン情報などを収集してきた。その中に GMO のサービスで取得されたドメインがあれば Abuse窓口に即座に連絡し、対処を依頼してきたという。こうした取り組みの成果もあって、今ではランキングの上位から外れ、Abuse の件数も大幅に減少した。
同様に、デジタル証明書の悪用やフィッシングサイトが作成されていた場合にも適宜連絡し、テイクダウンに取り組んでいる。さらに、GMOインターネットグループが開発し、提供している様々なツールに関して、イエラエが脆弱性を見つけ、修正するよう促すといった活動も行っている。
「悪用を見つけたらすぐテイクダウンするのは、インターネットを支える側の責務だと思っています。イエラエもともに、しっかり協力しています」(濱本氏)
●サービスそのものにセキュリティを組み込み、より多くの人に技術を届ける
このようにイエラエが GMOグループにジョインしてから、会社とサービスを守るため、さまざまな形で協力してきた。
今後は、GMOグループが提供するサービスそのものに、いかにセキュリティを組み込んでいくかに取り組んでいくという。「たとえば、ドメインを取得したら定期的に診断をするようになれば、インターネットはもっと安全になっていくと思います。そんな形にいかに近づけていくか、工夫していきたいと考えています」(阿部氏)
また、「ハッキングナイト」をはじめ社内イベントを開催したり、共通プロジェクトにともに取り組むことで、グループ内人材の育成も推進していく計画だ。
冒頭に阿部氏が説明したとおり、GMOグループ内には大規模な会社もあれば中小企業もある。顧客層はさらに幅広く、小規模企業者や個人まで含まれる。規模が小さくなればなるほどセキュリティ予算はどうしても限られ、セキュリティ意識も薄れてしまいがちだ。そんな、より小さな規模の企業のセキュリティ対策をどうにかしない限り、サプライチェーン攻撃が横行し、規模の小さな企業から攻撃が入り込み、大企業等へと影響を及ぼしてしまう事態は防げない。
そこであらためてイエラエでは、「世界一のハッカーの技術力を身近に」というビジョンを追求し続けていきたいという。「我々は、我々の技術がより多くの人に届くよう、身近で利用しやすいサービスとして提供していきます。今日お話しした取り組みもその一つです」(阿部氏)
その意味で、インターネットを支えるサービスで高いシェアを誇り、多様なサービスを展開し、グループ内に多くの仲間がいる GMOグループという場は、より多くの顧客にセキュリティを届けるという意味で非常に心強い環境だという。
「冒頭、GMOグループは怖いと言いましたが、これは強さに変わると僕は思っています。守りにくいとも言いましたが、守り甲斐もすごいんです」(阿部氏)。そしてイエラエとして、さらに GMOグループ全体として、よりよいセキュリティを提供するためにやれることは全部やりきり、アグレッシブなチャレンジを続けていくとした。
