メール1:SOCの始まり – NOCからSOCへの歴史的変遷
レイ・イージス・ジャパンの青木です。
今回はSOCに関連するような話題をいつものように5回に分けて思いつくままに書いてみようと思います。
【第1話】SOCの始まり – NOCからSOCへの歴史的変遷
私もIT業界で仕事をするようになって40年になりますが、その間色々な製品やサービスの販売に関わってきました。ミニコン(今では死語ですかね?)やエンジニアリングワークステーションに関わり、その後ネットワーク、パソコン、ストレージと徐々に扱うものが変わってきて、5年前くらいからセキュリティの世界に関わるようになりました。気が付くと、以前一緒に仕事をしていた人たちの多くが同じセキュリティに関わるようになってきていて、時代の移り変わりを感じているところです。
2023年はヒップホップが生まれて50年とかいうことを通勤途中のラジオで聞きましたが、そのころには皆さんもご存知のトレンドマイクロ(1989年創業)もまだ形すらなかったころを考えると隔世の感を覚えます。
そんな中で、弊社でもサービスを開始したSOC(セキュリティオペレーションセンター)って一体何なのだろうと気になり始め、思いつくままに書いてみようと思い立った次第です。今回は皆様にお付き合いいただきながらこんなSOCのサービスが作れたら良いなというようなことを自分の中で整理するような内容になってしまうかもしれませんが、お付き合いいただけたら幸いです。
若い頃(といっても25年くらい前だと思いますが)にNOC(ネットワークオペレーションセンター)向けにシステムを販売したことがありましたが、この言葉の定義が書かれたのは1996年に公開されたRFC1983ということのようです。SOCは後から出てきた概念だと思いますので、せいぜい30年にも満たないくらいの歴史なのだろうかと想像していますが、ご存知の方がいらっしゃったら教えていただけるとありがたいです。
そもそもインターネットの前身ともいわれるARPANETでのホスト間通信が始まったのが1969年、TCP/IPが使われるようになったのが1983年ということを考えると、それらの技術なしには考えられないNOCやSOCなどはヒップホップよりも間違いなく歴史が短いということで、感慨深いものがあります。
ところで、このNOCやSOCというのは一体何なのでしょうか?
細かな定義は色々とありますが、私個人は、NOCはネットワークが止まらないように監視・対策を行う組織で、SOCはセキュリティに関わる監視業務を専門的に行う組織という理解をしております。近年は、多くのものがネットワークにつながるようになり、それに伴ってセキュリティに関わるインシデントが非常に増えてきてSOCというサービスが広く使われるようになってきたような気がしています。
もともとは、NOCは通信業者、ISPなどが中心で始まり、その後大規模なネットワークを持つ企業などにも広まり、ネットワーク上の機器の稼働などを監視するのが目的だったと思いますが、監視対象や内容も大きく進化してきていて、最近ではアンチウィルスなどの監視などを行うこともあるようですね。
SOCの方は、組織のネットワークが外部とつながるようになり、外部からの攻撃などの危険が増えてくるに従って専門チームが組織されるようになってきたもので、最近ではマルウェアの進化や働く人の意識の変化とともに、内部から外部に向けた怪しい通信や、内部間での不審な通信などにも目を光らせないといけないということで、その担当範囲が広くなってきて重要性も増してきているように思います。
ということで、次回は、NOCとSOCの役割について、少しばかり掘り下げて解説できればと考えておりますのでお楽しみに。
メール2:NOCとSOCの役割と違い – ネットワーク監視とセキュリティ監視の基礎知識
レイ・イージス・ジャパンの青木です。
【第二話】 NOC、SOCとは
前回の続きになりますが、NOCは、ネットワーク化やシステムの高度化が進むにつれて、特に電気通信事業、金融サービス、エネルギー関連、製造業など24時間高い信頼性を持って常時稼働を保証しなければいけないというところから、特にネットワークを絶え間なく監視する必要があって生まれてきたもののようです。一般的には、サーバー、データベース、 ファイアウォール、ネットワーク関連機器、および関連する社外サービスを含めた複雑なネットワーク環境を監視しているようです。
近年では、ネットワーク稼働を確実なものとするために、Webサイトのトラフィック量の管理、ネットワーク性能及びそれに影響を及ぼしかねない問題の監視や、さらにはマルウェアの特定、ネットワークのパフォーマンス改善なども行うといった具合にその役割を広げてきており、SOCに近いサービスを提供するケースもあるようです。もともとが、ネットワークシステムの、継続的かつ安心・安全な稼働を実現するためのものであり、一言で言ってしまうと、ネットワークシステムの稼働SLA を満たすことができるように、ネットワーク環境を監視及びメンテナンスを実行するものといって良いのではないでしょうか?
なお、一般的には通信事業者やISPなどが地域的に設ける集中的なネットワーク管理センターなどを指すことが多いようですが、一般企業が自社用に運用しているネットワークの運用・管理部門を呼ぶこともあるようです。最近では、専門の事業者が企業などからの委託を受けてサービスを行っているケースも多くなってきているようです。
一方SOCは、ファイアウォール、IDS、IPSなどのセキュリティ機器やネットワーク機器、端末のログなどを定常的に収集し、情報セキュリティの観点から監視するサービスです。脅威となるインシデント、ネットワークの中断、内部情報の不正な持ち出し、不正なシステムの管理者権限の奪取、暗号化などさまざまな攻撃やその予兆を検出・特定するとセキュリティチームやCSIRT(Computer Security Incident Response Team)などの関係者に連携することをその役割としています。また、サービスレベルによっては、インシデント発生時の初期の報告に加え、その影響範囲を調べたり、あらかじめ想定された指標に基づいてインシデントの評価などを行うこともあります。多くのSOCサービスにおいては、セキュリティ上の脅威や攻撃を日次、月次などで報告することが基本であり、サービスによってはインシデント発生時の対応も含んでいます。
SOCのサービスには様々なものがありますが、基本的にはセキュリティインシデントの検知に重点が置かれたものとなっています。
こちらもNOCと同様、外部の専門の事業者が企業などからの委託を受けてサービスを提供するケースが一般的になってきています。
次回は、SOCサービスの現状について、私見を述べさせていただこうと思います。
メール3:現代のSOCサービスの課題と実態 – セキュリティ監視の現状分析
お世話になっております。レイ・イージス・ジャパン青木です。
第三話 SOCサービスの現状
私もセキュリティ業界に関わって5年目になりましたが、つくづく奥の深い世界だと日々感じております。
ここ4年ほどは脆弱性診断やペネトレーションテストの方に注力しておりましたが、サービスを提供している中で、フォレンジック調査の依頼を受けたり、Webシステムを守るためのWAFが欲しいといわれたりで少しずつサービスの幅を広げてきました。
そんな中で、多くの病院がファイアウォールやVPN装置などの古いバージョンのソフトウェア(ファームウェア)や設定の不備を放置することにより、外部からの攻撃を受けてしまい、システムが暗号化されるなどの被害がこの2~3年でよく聞くようになりました。これらの被害を減らすためには、この出入り口を監視することが大いに役に立つのではないかと最近感じています。
SOCサービスというものは20年以上前からあるのですが、一向に被害が減らないというのは一体どういうことなのかと不思議に思っているところですが、おそらくサービス提供側とサービスを受ける側との間に認識のずれがあるのかもしれないと感じております。
そこで、SOCサービスといわれるものはどんなサービスを提供しているのかと思って調べてみると、私が当初イメージしていたものと実態がちょっと違うのかもしれないという違和感を抱くようになりました。
SOCサービスを提供している会社は多数あるようですが、価格を前面に出しているようなサービスにおいては、攻撃の予兆などを捕まえて本格的な攻撃の前に対策するということができるのだろうかと疑問をいだくようになりました。私が簡単に調べてみた限りでは、IPSやWAF、ファイアウォールなどの脅威ログ集計して、日次、週次、月次などの周期でその傾向分析したようなものを報告として提供したり、ファームウェアのバージョンアップ作業を請け負ったりというような安価なサービスがあるようです。個人的には、脅威ログを集計して見せたところで、それらは止めた結果でしかないので、その統計情報は自社への攻撃の傾向を知るというところにとどまってしまうように感じています。IPSなどの防御壁をすり抜けた(危険な)トラフィックについてこそ調べてみるべきではないでしょうか?こうした簡易なサービスを見ていると、本当に役に立つものになっているのだろうかと疑問がわいてきます。私の勘違いだったらお許しください。
本格的なサービスにおいては脅威ログだけではなく、トラフィックログやEDR、各種システムのログなどもSIEMなどにより相関分析し、危険なトラフィックや攻撃の試行などを報告してくれるものと理解しておりますが、そこまで調べてくれれば攻撃を未然に防ぐという観点では役に立つのではないかと思います。
また、最近では脅威情報の提供サービスなども大手企業では使い始めたようですが、こうしたサービスやDarkWeb上でのキーワード検索をあわせて行うことで、トラフィックログなどを分析する上で大いに役に立つのではないかと思いますがいかがでしょうか?
こうしたサービスを組み合わせることで、やっと攻撃に対する備えがとりあえずできたということになるような気がしています。SOCのサービスを受けるのであればそのあたりまで考慮した上でベンダーやサービスを選択することをお勧めしたいです。
最後までお読みいただき、ありがとうございます。
メール4:理想的なSOCの7つの要件 – 包括的なセキュリティ監視体制の提案
お世話になっております。レイ・イージス・ジャパン青木です。
【第4話】SOCにあったらいいなと思うもの
前回書かせていただいたところから少し発展させて、私から見た理想のSOCについて少し書かせていただこうかと思います。以下のようなサービスがすべて備わったSOCサービスなどあれば素晴らしいと思いますが、コストとの兼ね合いもありますので、できるところから取り入れていくようなことを考えたらよいのだと思います。あくまでも個人的な期待を書いているだけで、弊社が提供を始めるSOCサービスですべて実現できている内容ではございませんので、誤解のないようにお願いたします。
(1)IPS、WAF、ファイアウォールなどの脅威ログの分析
これらのネットワークの境界線上のセキュリティ機器のログを分析することで、攻撃の傾向などを知ることができ、それに対する対処などを行うことができます。ただしこれらは遮断結果ですので、遮断されていないトラフィックや攻撃なども分析する必要があります。
(2)ネットワークの接点を流れるトラフィックログなどの分析
ネットワーク機器やセキュリティ製品のトラフィックログを分析します。遮断はしていないものの通常のトラフィックパターンと違ったものや、異常に数の多いトラフィック、通常考えられない経路の通信(内部同士あるいは内部から外部への通信などを含めて)を分析することで、攻撃の予兆などをとらえることが可能になります。
(3)トラフィックログに含まれる通信先のレピュテーション情報の分析
既知のC&Cサーバー、BOTネット、有害・危険サイトなどのドメインやIPアドレスとの通信などを、レピュテーションデータベースと照合することで、危険な通信やバックドアなどを見つけることができます。
(4)EDRなどのログ分析
EDRやNDRなどのログを分析することで、マルウェアなどの危険なファイルの動作や通常と異なるネットワーク上の動きなどを事前にとらえることができます。
(5)不審なトラフィックや動作が見られたシステムの状態調査
これらの危険な動作やトラフィックを検知した際、当該システム上で動作しているプロセスなどを観察することで、マルウェアの動作などを含む、被害の拡大を止めることが可能となります。
(6)サービス対象組織に関する情報がダークウェブで取りざたされていないかの調査
異常なログイン試行などがあった場合には、ダークウェブなどでアカウント情報などが公開もしくは取引などされていないかを調べることで、早めの対処、予防などが可能となります。
(7)定期的な脆弱性の診断もしくは管理など
定期的にシステムの脆弱性を診断や脆弱性管理システムにより調査をすることで、外部からの攻撃に対する耐性を高めておくことができます。
こんなことが自社で、もしくは外部のSOCサービスを含むセキュリティサービスによって実現できていると、攻撃に対する備えは相当できていると考えてよさそうですが、すぐに全部はできないのが一般的です。あせらず少しずつ対応していきましょう。
最後までお読みいただき、ありがとうございます。
Ray-SOCサービスのご紹介 – AIエンジン搭載WAFと統合セキュリティ監視の展望
レイ・イージス・ジャパンの青木です。
少しばかり宣伝になります。
【第五話】少しばかり宣伝になります……
いつものように、5回にわたって好き勝手なことを書いてきましたが、いかがでしたか?レイ・イージス・ジャパンでもRay-SOCという名前でSOCのサービスを始めましたが、基本的にはファイアウォールやIPSなどの脅威ログだけではなくトラフィックログやWAF(当面は自社製WAFのみになりますが)のログなどもSIEMにて分析を行い、アラートを発したり、弊社SOCエンジニアがお客様にご連絡差し上げるサービスとなります。
SOCサービスの活用の中で、弊社グループ独自開発のAIエンジンを使ったWAFとRay-SOCサービスを組み合わせたRay SOC WAFなどもご用意いたしました。
今後、お客様のドメイン名に関連する情報やお客様指定のキーワードがダークウェブ上でやり取りされていないかを定期的に調査するダークウェブのキーワード探索サービス、外部への不審な通信や不審な動作を起こしている端末、システムなどの状態を調べるシステムヘルスチェックサービス、外部ネットワークとの接点になる各種ネットワーク機器やVPN装置などの簡易的なペネトレーションテストなど周辺サービスも徐々に充実させ、お客様のシステムのセキュリティレベルを一段と押し上げる上でお役に立てればと考えております。
前回理想形として書かせていただいた内容にはまだまだ届かないものですが、少しでも皆様のお役に立てるものへと、これからも少しずつ進化させてゆく予定ですので今後どのような方向に向かってゆくか見守っていただければ幸いです。
最後の最後で弊社の宣伝になってしまいましたが、弊社製品に関わらずセキュリティ関連でのご相談などございましたら弊社担当窓口まで遠慮なくお問い合わせください。ただし、私を含めて万能ではないので、お役に立てないこともあることをあらかじめご理解いただけますようお願いいたします。
それでは今回も私のとりとめのない話におつきあいいただきましたありがとうございました。
また何か思いつきましたらご案内させていただきます。
株式会社レイ・イージス・ジャパン
青木 登