SecureWorksはセキュリティリスクではなくビジネスリスクに対応する

●SOCは現在は5カ所
セキュリティ運用管理サービスプロバイダであるSecureWorksは1999年に設立され、2011年にDellに買収された。日本では、2013年2月よりサービス提供を開始し、今年に入り新たな責任者を迎え、さらに国内事業を強化している。

前回は、同社の幹部のインタビューを通して、同社のビジネスの概要と今後の戦略について説明したが、今回は、同社がサービスを提供する上で欠かせない施設であるSOC(Security Operation Center)について、その責任者であるテレンス マクグロウ(テリー・マグロー、Terrence McGraw)氏に話を聞いた。

同氏は米Dell SecureWorks Atlanta Security Operations Centerネットワークセキュリティ・ディレクタで、以前は米国政府のサイバーセキュリティ対策を担当していたという。

同社のSOCは以前7カ所あったが、現在は5カ所に集約されているという。具体的には、米国に3施設(イリノイ州シカゴ、ロードアイランド州プロビデンス、ジョージア州アトランタ)、スコットランドのエジンバラに1施設、そして日本の川崎だ。

テリー・マグロー氏によれば、同社のSOCにはグローバルで500人以上の人員がおり、SOCで働くメンバーはすべて、何等かの資格を有するエキスパートだという。具体的には、SOCのアナリストは全員、SANS GCIA GIAC Certified Intrusion Analyst 認定のセキュリティアナリストで、この認定試験は合格するのが非常に困難だという。有資格者は世界でわずか4,800名弱だが、同社には70名以上の有資格者がおり、これはベンダーとしては最大規模だという。なお、川崎の施設では6名のSOCアナリストがいるということだ。

テリー・マグロー氏は、Dell SecureWorksのSOCの特徴について、「1つのユニークな側面として、MPLE MultipleProcess Logic Engineで駆動する独自の技術CTP Counter Threat Platform）が挙げられる。これはセキュリティイベント分析エンジンで、25万を越す異なる分析を実行する。このエンジンで 1日当たり1,100億を越すイベントを処理し、約7,500件ほどは疑わしいイベントまたは悪質なイベントと認定される。これらは、GCIA認定セキュリティアナリストによって分析される。最終的に7,500件のイベント中約4,000がセキュリティインシデントとして特定され、お客様にレポートする」と説明した。4,000件のうち、500件程度が非常に危険なイベントだという。

そして、新たに発見された悪質なイベントは、MPLE MultipleProcess Logic Engineにフィードバックされ、次回以降の分析に利用される。このサイクルは非常に短く、それが他社との大きな差別化要因になっているという。

同氏はここ3年ほどサイバー攻撃が増加していると指摘し、その要因として、ハッカーツールを数百ドルでだれでも購入でき、とくにスキルがなくてもサイバー攻撃を仕掛けることができる点を挙げた。

ここ半年では、「Living Off theLand」という攻撃が増えているという。これはリスト型攻撃と呼ばれるもので、企業の従業員が持つネットワーク資格情報を巧みに工作し、その資格情報を使用することで、標的とする組織ネットワークへの侵入を試みるという攻撃だ。

このような攻撃に対して同社では単にアラートをあげるだけでなく、マネージドサービスとして、パッチを当てたり、機器の設定変更をリモートで行うサービスも提供する。パッチに関しては、その企業のポリシーに適合した特別のパッチを開発することもあるという。

最後に、同氏に今後SOCをどのように強化していくのか聞いたところ、「新たなアナリストを見つけてトレーニングをしていく。そして、MPLE MultipleProcess Logic Engineを強化し、さらに高速に処理できるようにしていく。また、セキュリティリスクを企業の人に説明、啓蒙し、より強固な体制をつくっていきたいとも思っている。リスクは企業ごとに異なり、守るべき情報も違う。我々は、セキュリティリスクではなく、ビジネスリスクに対応しようとしている」と語った。

●日本において注意すべき攻撃は?
また、今回はCTUの責任者であるバリー・ヘンスリー(Barry Hensley)氏に、最近の攻撃の動向についても話を聞くことができた。

脅威対策事業部(CTU)調査チームは、次々に出現する脅威の特定と分析、並びに顧客保護対策の開発を行うセキュリティ研究の専門家グループだ。CTU(Counter Threat Unit)調査チームは、SOCで新たな脅威やゼロデイ脆弱性を分析。顧客が被害を受ける前に、早期警告や実用的な対策情報を提供する。

バリー・ヘンスリー(Barry Hensley)氏は、Dell SecureWorks 脅威対策事業部(CTU)調査チーム担当 エグゼクティブ・ディレクターで、2010年に同社に入社。以前は米国陸軍地球規模ネットワーク作戦・保全司令部(AGNOSC)の前司令官であったという。

同氏はSecureWorksの印象を「SecureWorksの人々は米軍と同じ情熱をもっている。米軍は国を守るという情熱があり、SecureWorksには企業を守るという情熱がある。入社したとき、その点は感心したと語った

バリー・ヘンスリー氏によれば最近の傾向として、2011年あたりからセキュリティトークンを使った攻撃が増えているという。これは、セキュリティトークンを利用している企業をハッキングするために、トークンを提供している企業をハッキング。これにより、狙った企業に侵入する際は、正規の動作として行えるのだという。また、Comfooなどいろいろなテクニックを利用しており、それを発見するのは大変だという。

同氏は日本について、ハイテクノロジーの企業が多く、最近特に攻撃が増えており、「日本はハッカーからも注目されている」と警告。さらに、「2020年にオリンピックが開催されるため、今後はより狙われやすくなるだろう。また、日本ではフィッシュングにより、個人情報を盗まれるケースが横行しており、今後マイナンバーが始まるため注意が必要だ。とくに、システムアドミンの権限が盗まれてしまうと、何でもできてしまうため危険だ」と注意を促した。

フィッシュングでは、人のつながりを利用し架空の人物に成りすまし、メールを送りつけてくるケースがあり、米国での送金サービスであるACH (Electronic Fund Transfer) を利用するケースも増えているという。

そのほか、日本ではクレジットカードのスキミングやオンラインバンキングも要注意だという。オンラインバンキングでは、「Man in the Middle」と呼ばれ、 暗号通信を盗聴し、情報を自分のものとすりかえる攻撃が増えているいう。

そして同氏は、現在の攻撃者は4つに分類されると説明。4つとは、Hacktivistと呼ばれる、政治的・社会的な主張をするためにハッキングを行う人々、Cyber Crimeという金銭目的にアタックを行う人々、スパイ活動が目的な人、国家としてやっている場合の4つだという。ではこのような攻撃に対しての対策として、何をすればいいのだろうか？

同氏はこれに対して

・オンラインバンキングはなるべく使わない
・重要な情報を扱うPCを分ける
・ブラウザはより信頼性の高いものを使う
・セキュリティ対策行う(パッチを当てるなど、やるべきことをしっかりやる)

の4つを挙げた。