SOC(Security Operation Center)サービスの詳しい内訳について情報発信されることはこれまでほとんどなかったと言っていい。優秀な SOC ほど(主に大口の)顧客相手に繊細かつ極めて柔軟性な個別性高いサービスを提供しているもので事例として紹介することが難しいから等々複数の理由がある。
その反動なのであろうか。施設の充実度合いや内装の美麗さ、そしてラボとそこから出される定期レポート、オリジナルシグネチャ、そしてラボを代表する「研究所長」や「エバンジェリスト」などが盛んに表に出て情報発信を行う場合がある。しかし肝心の SOC 内部で具体的にどんな SIEM などのソフトウェアを使って分析しているのか、それが Splunk なのか内製なのか等々の具体的な情報はまずもって語られることがない。
だから取材陣には、壁一面に設置された CNN や BBC を常時映している巨大モニターや、スイッチ一つで半透明から透明に変化する分厚いガラス製のウォール(防弾仕様だったりする)などがデモンストレーション的に展開されるのみである。ISS が最初に導入し、その後 LAC が洗練させ、後に各社が追従した例のあの仕掛けである。
株式会社SHIFT のグループ会社である 株式会社SHIFT SECURITY と株式会社クラフは 2021 年春から SOC サービスの提供を開始、オペレーションセンターをクラフの所在する宮崎に設置し、オペレーターとアナリスト約 20 名弱の体制で、国内数十社のクライアントに向けて SOC サービスを提供している。
彼らの強みは AWS や Azure などのクラウドサービス監視、そして EDR マネージドサービスなどの「新しい製品やサービス」への対応。UTM でも WAF でも EDR でも IaaS でも主要な製品やサービスであれば、どんなものでも監視対象と断言するのが同社 SOC の特徴の一つで、現在対応する製品は 100 を超えるという。その内訳は下記の通り。
対応製品一覧(105製品)
・WAF (Web Application Firewall)
AWS WAF
Azure Web Application Firewall
Fortinet FortiWeb
Cloudflare WAF
F5 BIG-IP Application Security Manager
Citrix Web App Firewall
Barracuda Web Application Firewall
GCP Cloud Armor
IBM Cloud Web Application Firewall
Qualys Web Application Firewall
Imperva WAF
・UTM/IDS/IPS
AWS Network Firewall
Azure Firewall
Palo Alto Networks Next-Generation Firewall
Sophos XG Firewall
Juniper SRX Series
GCP Cloud Firewall
Azure Network Security Group (NSG) Flow Logs
A10 Thunder CFW
Check Point Next Generation Firewall
Forcepoint NGFW
WatchGuard Firebox
SonicWall TZ Series
Fortinet FortiGate
Barracuda CloudGen Firewall
Cisco Secure Firewall
・EDR (Endpoint Detection and Response)
Cybereason EDR
Microsoft Defender for Endpoint
Carbon Black EDR
Sophos Intercept X with EDR
ESET Enterprise Inspector
Kaspersky Endpoint Detection and Response
FireEye Endpoint Security
McAfee MVISION EDR
CrowdStrike Falcon Insight
・CASB (Cloud Access Security Broker)
Proofpoint CASB
Forcepoint CASB
Lookout CASB
Skyhigh Security CASB
Netskope CASB
McAfee MVISION Cloud
CipherCloud CASB+
Bitglass CASB
Microsoft Cloud App Security
・SASE (Secure Access Service Edge)
Zscaler Internet Access
Forcepoint SASE
Fortinet FortiSASE
Aryaka SASE
Perimeter 81
Cato Networks SASE Cloud
Palo Alto Prisma Access
Versa SASE
Netskope Security Cloud
・エンドポイントセキュリティ
Trend Micro XDR
Sophos Intercept X
Bitdefender GravityZone
F-Secure Elements Endpoint Protection
Kaspersky Endpoint Security
Comodo Advanced Endpoint Protection
Trend Micro Apex One
Symantec Endpoint Protection
Malwarebytes Endpoint Protection
SentinelOne Singularity
Cylance PROTECT
McAfee MVISION Endpoint
Deep Instinct
G Data Endpoint Protection Business
ESET Endpoint Security
Symantec Endpoint Security
・SIEM (Security Information and Event Management)
Micro Focus ArcSight
IBM QRadar
Rapid7 InsightIDR
Exabeam Fusion SIEM
LogRhythm NextGen SIEM
RSA NetWitness Platform
AlienVault USM
Splunk Enterprise Security
ArcSight Enterprise Security Manager
Securonix Next-Gen SIEM
・クラウドセキュリティ
AWS GuardDuty
GCP Security Command Center
Azure Security Center
IBM Cloud Security Advisor
Trend Micro Cloud One
Orca Security
Palo Alto Prisma Cloud
Check Point CloudGuard
・ネットワークセキュリティ
Snort
OSSEC
Wazuh
Cisco Stealthwatch
Lanscope StealthWatch
Suricata
Arbor Networks Spectrum
Cisco Umbrella
・ID管理
Okta
OneLogin
・ネットワークフロー
AWS VPC Flow Logs
IBM Cloud Activity Tracker
Azure Activity Log
IBM Cloud IBM Cloud Flow Logs
AWS CloudTrail
GCP Cloud Audit Logs
GCP VPC Flow Logs
なお、現在未対応の製品でも準備期間をもらえば、どんな製品でも監視対象にできると取材で明言した。またその準備に対する追加費用は一切発生しない。
後発も後発、最後発にあたる 2020 年代にサービスインした同社の SOC は、他の SOC サービス紹介サイトではまず見かけない情報が Web サイトに掲載されている。サービス提供料金である。「シルバー」「ゴールド」「プラチナ」の 3 コースが示され、シルバーに関しては具体的月次料金 9 万円が明確に記載されている。かなりの値頃感がある。
どんな機器やサービスの監視にも対応するが、これまでなかった新しい製品の監視依頼が来た場合は、ベンダが公表するログフォーマットをもとにして検知ルールを作成する。ベンダがログフォーマットを全く公開していないケースもあり、その場合は顧客(になる予定の企業)からログの提供を受けて、アナリストやオペレーターによってログフォーマットの解析が行われる。
たとえば下記の生ログがあって、最終行の「Credential Dumping」の情報を抽出したい場合、
CEF:0|Vendor_A|ProductX|1.0|100|Connection Blocked|1|src=192.168.1.1 dst=10.0.0.5 spt=443 dpt=8080 user=eve time=2025-02-05T10:15:00Z msg=Blocked suspicious connection
CEF:0|Vendor_A|ProductX|1.0|200|Intrusion Attempt|3|src=172.16.0.2 dst=192.168.0.3 spt=80 dpt=443 user=john time=2025-02-05T10:20:00Z msg=SQL Injection attempt detected
CEF:0|Vendor_A|ProductX|1.0|300|Malware Detected|2|src=192.168.1.100 dst=192.168.1.200 fileHash=abcdef123456 user=alice time=2025-02-05T10:25:00Z msg=Malware detected in email attachment
CEF:0|Vendor_A|ProductX|1.0|400|Port Scan|2|src=10.0.0.10 dst=192.168.1.15 user=guest time=2025-02-05T10:30:00Z msg=Multiple port scan attempts detected
CEF:0|Vendor_A|ProductX|1.0|500|DDoS Attack|3|src=203.0.113.5 dst=10.1.1.5 spt=12345 dpt=80 user=olivia time=2025-02-05T10:35:00Z msg=Distributed denial-of-service attack detected
CEF:0|Vendor_A|ProductX|1.0|600|Suspicious Activity|1|src=192.168.1.50 dst=192.168.1.150 filePath=/downloads/suspicious.exe user=bob time=2025-02-05T10:40:00Z msg=File execution flagged as suspicious
CEF:0|Vendor_A|ProductX|1.0|700|Outbound Connection Blocked|1|src=192.168.1.5 dst=0.0.0.0 spt=25 dpt=25 user=mary time=2025-02-05T10:45:00Z msg=Suspicious outbound email traffic blocked
CEF:0|Vendor_A|ProductX|1.0|800|Brute Force Attack|3|src=192.168.1.200 dst=10.1.1.10 spt=22 dpt=22 user=michael time=2025-02-05T10:50:00Z msg=Multiple failed login attempts detected
CEF:0|Vendor_A|ProductX|1.0|900|Phishing Attempt|2|src=192.168.1.30 dst=192.168.1.100 user=john time=2025-02-05T10:55:00Z msg=Phishing website detected in email link
CEF:0|Vendor_A|ProductX|1.0|1000|Credential Dumping|3|src=192.168.2.20 dst=192.168.1.10 spt=445 dpt=445 user=rachel time=2025-02-05T11:00:00Z msg=Credential dumping tools detected in network traffic
抽出用の正規表現「\|ProductX\|[\d\.]{,3}\|\d{3,4}\|(?<ProductX_eventType>[\w\s]+)\|」を用いて、抽出名「ProductX_eventType」、抽出値「Credential Dumping」としてフィールド抽出を行い、下記の抽出結果を得る。
ProductX_severity:3
ProductX_srcIP:192.168.2.20
ProductX_dstIP:192.168.1.10
ProductX_srcPort:445
こうしたプロセスは当然トライアンドエラーを経るが、これまで全てのケースにおいてフォーマットの完全な理解に到達している。
後発 SOC サービスだからクラウド対応が非常に早かった。国内に限らずグローバルで見ても早期の段階で AWS および Azure などの主要クラウドサービスの監視サービス提供を開始しており、現在でも同社顧客のボリューム層はクラウド監視を依頼するクライアントが多い。
SHIFT SECURITY とクラフは明確に意識して「脆弱性診断サービスの標準化」、それまで熟練職人でなければできないとされてきた仕事を、作業や判断を細かく細かくさらに細かく分けて分けて、一定の訓練を経れば誰でもできるところまで仕組み化を行った。
もちろん気の利いた会社はすべてこんなことは普通にやっているのだが、SHIFT SECURITY の場合、親会社の株式会社SHIFT がソフトウェア標準化のために CAT という練れた標準化プラットフォームをすでに持っていてそれをまるまる受用することができたから、特に完成度において恐らく国内最初の診断標準化に成功した企業である。
こう書いて気を悪くしないで欲しいがいわば「60 点の回転ずし的診断サービス」を確立した。なおここで「60点」とは、OWASP の項目を完全網羅する程度の水準という意味である。
その後 DX の広がりやサイバーセキュリティ経営ガイドライン公表、ランサムや不正アクセス等々によって世の診断需要が増えたことで、国分さんや福森さんのような匠(たくみ)の手を動かさなくてもいいからもっとたくさん広く診断して欲しい、もっと頻度高く見て欲しい、等々のボリュームを伴った必要とする瞬断需要が増した。そして均質で一定水準のサービス提供に AI 等を活用しながら各社も追従するようになっていく。
標準化への挑戦はこの SOC サービスでも行われており、メールで届くアラートや、あるいは Syslog 形式で届くアラートなど全てを「ログコレクター」と呼ばれるログ取得システムを通してデータレイクに集めて、内製開発した監視システムに送られる。そして検知ルールに基づいた情報が、たとえば「システムに対する脆弱性スキャン」など MITRE ATT&CK の Tactics と Technique に紐付け分類され顧客に提供される。なお、アラートなどの全メッセージがすべて機械翻訳ではない「こなれた日本語」で提供されているところも同社 SOC の特徴。
今回の取材ではアナリストほか合計 3 名の人物にインタビューを行ったが、そのうちの 1 人は、かつて SHIFT SECURITY とクラフの提供する SOC サービスの 4 倍から 5 倍程度の価格帯の SOC 構築と運用に携わった経験を持つ技術者だった。
彼によれば同社 SOC の監視対象の広さや柔軟性の秘訣は「疎結合」にあるという。すなわち「第一世代 SOC(と、仮にここで名づけるが)」は、顧客に販売した Check Point Firewall-1 などの製品の設定や運用、更新などが主要な業務であり、監視対象製品の細かいところまで SOC オペレーターが通暁していくプロセスをたどった。
そのためルールの追加や、あるいは時折これまで書いたルールが消えてしまうようなリスク等を伴う場合もある OS アップデート等々の作業を「各製品に深く入り込んで」行う。そして契約によっては、特定の条件で通信をオペレーターが手動で止めるなどの判断と実行まで行う。
こうした(食べ物たとえを続けるなら)すきやばし次郎的な SOC サービスが「密結合」だとすると、SHIFT SECURITY とクラフの SOC サービスは「疎結合」だというのだ。すなわちログが SOC に届くように設定してさえもらえれば、約 100 の対応製品一覧の中に監視を依頼したい機器やクラウドサービスが既にあるのなら、数日で監視をスタートすることが可能だ。
つまり必要なときに必要な SOC サービスを利用できるという新しい選択肢を提供している。
インタビューした人物は長らくハイエンド SOC サービスに在籍していたため、正直最初は「あれもない」「これもない」そんな SOC サービスに思えたが毎日多数の問い合わせがあり、顧客候補となる企業訪問に同行してヒアリングしていると、これまで自分が SOC ならあたり前だと思っていたいくつものサービスあるいはオプションは、必ずしも全ての顧客が求めているものではなかったと新たな発見をする日々だという。
彼が接する顧客の要望とは「現在頼んでいる EDR マネージドサービスが高価なので限定的な範囲や項目で構わないからこの予算で見てくれないか」といったものであったり「オンプレミスのファイアウォールや UTM の監視だけでなく AWS まで御社に頼めないか」などなど。
なお、上記の要望いずれも同社 SOC は喜んで対応する/できるという。
インタビューでこんな面白い表現を聞いた。「高級寿司店では、寿司の上に牛肉をのせてくれとか、タコウインナーを握ってマヨネーズを載せてくれなどと恐ろしくて頼めたものではないが、弊社の SOC は頼まれればどんなものでも握る(握る努力をする)」と。
なお、ゴールドとプラチナのサービスでは「密結合」のサービスも依頼があれば対応可能である。
