フルスペックで最高の安心をお届けする、PFUのセキュリティオペレーションセンター
～メーカーでありSIerでもあるからこそ、提供できるサービスとは～

ネットワークだけでなく、端末も強固に守る

PFUのSOCは、顧客の情報システムのセキュリティを、24時間365日、遠隔監視している。情報セキュリティの基本は大きく二つある。ひとつは、ネットワークの出入り口に適切な蓋をすること、もうひとつは端末を強固に守ることだ。

前者のネットワークを入り口で守るのが、ファイアーウォールのようなネットワークセキュリティ機器である。だが、サイバー攻撃が多様化・高度化するに伴い、ファイアーウォールだけでは防ぎきれなくなっている。そこでセキュリティ各社は、ネットワークの水際で攻撃を防げるように、「次世代ファイアーウォール」や「UTM（Unified Threat Management：統合脅威管理）」と呼ばれるネットワークセキュリティ機器を展開している。
だがそれでも、攻撃のすべてを防ぎきるのは難しい。その典型例が「標的型攻撃」だ。組織内の特定の個人を狙い撃ちしてなりすましメールを送りつけ、ネットワーク内への侵入と端末への感染を試みるマルウェアが増えている。

では、端末のセキュリティをどのように守るのか。そのための手段のひとつが、ウイルス対策ソフトになるのだが、それとて標的型攻撃対策としては万全ではない。というのも、標的型攻撃で仕込まれるマルウェアは、ウイルス対策ソフトのパターンファイルに定義されていないことが多いからだ。パターンファイルにないマルウェアは、容易に端末に感染する。そうなってはもはや対処は難しく、情報を外部へ送信されるなど、端末が大きなリスクにさらされることになる。
そうした事態に対処するため、近年注目されている端末セキュリティが「EDR（Endpoint Detection and Response：端末での検出と対応）」と呼ばれるものだ。端末（主にPC）で何が起きているか、端末内での操作や動作を記録・監視することで、マルウェアへの感染を発見して対処を試みるものだ。

SOCでは一般的に、ネットワークレベルでセキュリティを監視しているところが多い。そのなかで、PFUのSOCはEDRにも対応し、ネットワークと端末の両方のレベルで、セキュリティを監視するのが大きな特徴のひとつだ。
「当社は富士通のグループ会社で、グループ内にもSOCをサービスとして提供している企業は複数あります。ただ、いずれもネットワーク監視までで、EDRまで手掛けているのは当社ともう一社しかありません。端末のセキュリティをきめ細かく監視することで、サイバー攻撃のリスクを大きく減らすことができます」と唐木は説明する。

ネットワーク監視では、ネットワークを流れる怪しい動きを捉えるが、個々の端末で何が起きているかまではなかなか把握することができない。
「例えば、お客様企業の社員の方が不正なメールを開いてしまった場合でも、そこに仕込まれていたマルウェアが起動すると、EDRの機能でそのプロセスを検知することができます。端末には、端末内での操作や動作を逐一モニターするソフトウェアをインストールしておき、怪しい動きがあったときは、PFUのSOCにアラートを送るようになっています」

自動化プログラムとアナリストによる分析で、リスクをランクづけ

このようにして、PFUのSOCでは、ネットワークと端末の両方を監視している。監視対象のネットワークセキュリティ機器や端末から上がってくるアラートは、月2万件ほど。そのうち、「実際にリスクがあるもの」として顧客に報告するのは月500件程度だ。PFUでは、どのようにしてアラートをフィルターし、リスクを評価しているのだろうか。
その答えは、自社開発の自動化プログラムと人の手による2段階のフィルターだ。まず、プログラムがアラートのリスクを評価してフィルターし、そのあとでアナリストがログを詳細に分析して最終的な判定を下す。
「当社は、2015年からSOCのサービスを提供しています。5年に及ぶノウハウの蓄積をもとに、上がってくるアラートを自動でフィルターするプログラムを開発しています。SOC開設当初は、アナリストが一つひとつのアラートに細かく向き合ってきましたが、センターを継続して運営してきたことで、アラートにはパターンがあることや、何が本当にリスクのあるアラートかの目算がつくようになりました。そのノウハウをプログラムで自動化しているわけですが、こうしたツールを内製できるのは、SOCの運営ノウハウに加え、セキュリティ製品をつくるメーカーとしての技術力があるからです」

自動化プログラムでは、2万件のアラートが1,500件ほどに絞り込まれる。そこからは、既知の事象か新規の事象かで対応が分かれる。前者については、自動化プログラムにより顧客報告用の回答を作成するのに対し、後者についてはアナリストによる分析で、「実際にリスクがあるもの」を選別し、リスクの度合いを評価して顧客に報告している。

「上がってくるアラートは、白黒はっきりつけられないグレーなものがほとんどです。それをすべてお客様に報告しても、お客様では判断を下すのも対処するのも困難です。例えば、端末に仕込まれたマルウェアが、インターネット上のサイトからファイルをダウンロードしてくることがありますが、人間がウェブサイトにアクセスしても、同じようなことが起こります。それがマルウェアによるものであるかどうかを評価するには、単にログの流れを見ていても分かりません。そのサイトが安全なサイトなのか、ファイルの中身に問題はないかなど、アナリストの目で非常に細かな点を分析してリスクを評価し、“実際にリスクがあるもの”と、“怪しく見えるけれど実はリスクがないもの”を選別・ランク分けしています」

過去には、笑い話のようなこんな事例もあった。端末から上がってきたアラートを見ると、あるサイトからファイルをダウンロードしていた。アナリストがログを詳しく分析してみたところ、アクセス先が転職サービスサイトで、ファイルがエントリーシートだったことがあったのだ。これは、アナリストが介在していなければ分からなかったことである。

ここで見た、自動化プログラムとアナリストの分析による2段階のフィルターこそ、PFUのSOCの二つ目の特徴であり強みである。
「圧倒的なコストパフォーマンスでサービスを提供できるように、私たちはアナリストの技術力強化に特に力を入れています。自動化プログラムを開発しているのもアナリストたちですし、アナリストの分析力が高まれば、そのノウハウを自動化プログラムに活かしていくことができます。お客様に、より有用なサービスを提供できるように努めています」

メーカー、SIerの顔も持つからこそ、オンサイト駆けつけも可能

そして、PFUならではのSOCの最大の特徴ともいえるのが、オンサイト駆けつけが可能な保守部隊を全国各地に持つことである。
「私たちがお客様のネットワークや端末から脅威を検出した場合、基本はセンターからリモートでできる対処を行います。ネットワーク機器のところで、脅威を検出した端末との通信を遮断したり、端末で動いているマルウェアのプロセスを止めたりするようなこともあります。また、端末でマルウェアを検知した際は、端末からマルウェアを削除するのが最終的な解決策となります。そういうときは削除の方法をお客様にお伝えし、お客様の側で対処をお願いしています。ただ、なかには非常にリスクの高いマルウェアもあり、リモートやお客様の側で対処できないこともあります。そういうケースでは、当社のサービス部隊がお客様のところにオンサイトで駆けつけて、現場で必要な対処をします」

PFUは、もともとセキュリティ製品をつくっているメーカーであり、セキュリティ関連のシステム構築を手掛けるSIerでもある。そのため、顧客のところにオンサイト駆けつけ可能なサービスエンジニアが全国各地に配備されている。これは、いざというときに大きな助けになることだろう。
「オールPFUで社内のリソースを総動員して、全方位でサービスを提供できるのが当社のSOCの大きな特徴です。日本中にSOC事業者は数あれど、アラートの検知だけでなく、アナリストが分析までして、リモートさらにはオンサイトで対処ができる事業者はそういないはずです。私たちは、お客様にフルスペックで安心をお届けしています」