我が社の SOC は大丈夫？ SOC 選びサバイバルガイド

　「優れたセキュリティ機器や製品を導入しさえすればセキュリティ課題はスマートに解決できる」これがセキュリティ対策における「努力」「友情」「勝利」的なキラキラした「夢の側面」だとすると、その正反対、すなわち「夢のあと」が存在する。

　SOC サービス「 NetStare（ネットステア）」を提供する株式会社セキュアヴェイルは、そんな夢の残骸や廃墟を目撃してきた、そして、いまも日々目撃し続けている会社の一つだ。

　同社が毎年何件かは遭遇する「無施錠案件」はその中でも最悪クラスの「夢のなれの果て」である。

　「無施錠案件」とは、本誌編集部が便宜上名付けたものだが、いったい何のことか。それはたとえば、ネットワークの運用と監視を「Netstare」で受託して、いざその企業に設置されたファイアウォールを調べると、そこに書かれているルールが、

fromLAN toInternet ALL ALWAYS ACCEPT

という、たった一行のみだった、といった戦慄事案だ。

「どこからどこに向かう何の通信を許可するのか」「そして何を許可しないのか」これらファイアウォールの最も基本かつ根本的設定を、メンテナンスの利便性を重視するがために、言い替えれば、運用の手間を嫌い安全性を犠牲にしてしまった跡である。

　だがもはや、セキュアヴェイルは、そんな「無施錠案件」に驚かなくなっているとのこと。毎年何件かはあるからだ。「ひょっとしたらこれは『施錠しない鍵』というタイトルがつけられて、文明の矛盾を現そうとしている現代美術の作品かもしれない」そんな言葉まで飛び出す始末だ。

　自分で管理できないから SOC サービスの需要が生まれる。SOC（セキュリティオペレーションセンター）とは、NASA のコントロールセンターのような、巨大モニターが複数壁に掲げられた部屋で、かっこいいジャンパーやツナギを着たオペレーターが、机上の 3 台 4 台のマルチディスプレイをにらんで、24 時間 365 日あなたの企業のシステムとネットワークの安全を守るために働いているところ。ざっくりこんなイメージが SOC サービスには持たれているが、これは間違ってはいないが、正しくもない。今回の取材でそう感じた。

　SOC が提供するサービスはよい言葉で言うと「非常に幅広く」、より正しく言うならピンキリである。そして、ピンの SOC もキリの SOC もどちらもホームページには「業界最高水準の SOC サービス」「 24 時間監視」と謳っているから始末が悪い。

　多くのユーザー企業担当者の脳内にあるような「理想の SOC 」あるいはそれに近いサービスを提供している会社は、今回取材したセキュアヴェイルや NRIセキュアなど、ごくわずかしか日本には存在しないのではないか。取材を経た正直な実感だ。

　10 年前なら、わざわざ SOC など探して契約する物好きな企業は、すべて具体的に何かやりたいことがあった。何が必要か自分で多少はわかっていた。しかし、サイバーセキュリティ経営ガイドライン以降セキュリティは経営課題になったし、近頃は有価証券報告書にセキュリティ対策を記載することも増えており、単にアリバイのために、あるいはガチで何も目的なく単に「みんなやっているから」という理由でセキュリティ投資を行うユーザー企業が増えた。セキュリティ企業にとっては最高な時代が来たのかもしれないが、ユーザー企業にとって最高とは限らない。

　ユーザーにとって、同じ「 SOC 」と書いてあるなら、より料金が安い方を選ぶのは人情である。本記事でこれから説明するほどの差が、まさか同じ SOC と謳うサービス間にあろうなどとは夢にも思わない。

　本稿では、西日本を中心に独自路線の SOC サービスを展開する、大阪の株式会社セキュアヴェイルへ取材を行い、彼らの目を通じて、ピンからキリまであるサービスが全て一口に「 SOC 」と呼ばれている今の日本の現状における、サービス選びのポイントを洗い出すことを試みた。

取材協力：

　株式会社セキュアヴェイル
　取締役常務執行役員セキュリティサービス本部本部長
　白石達也氏

　取締役セキュリティサービス本部副本部長
　大政崇志氏

　ソリューション推進室マネージャ
　藤原弘臣氏

●ログを取るか取らないか

　最初のポイントは、端末やネットワーク機器、UTM などのセキュリティ機器の通信ログを収集保存するかどうかだ。大手や上場企業が提供する SOC サービスにも、危険度の高い通信などを検知した際に、アラートの報告のみを行うサービスが実在する。そもそもログを収集し出力するのは負荷が高い稼働であり、アクセス量が多いほど分析対象も増える。だからログを取らず、危険な攻撃を検知したときにのみアラートを報告することに一定の合理性がないわけではない。

　しかしたとえば、アラートによって不正アクセスを迅速に検知し、よしんば未然に防げたとしても、ログがなければ、さかのぼって原因究明やプロセス解明はむずかしくなる。セキュリティ事故発生後の安全宣言は一般に、将来同一の事象が起こった際に防ぐことができるという技術的検証が終わらなければ出せないため、安全宣言も出せなくなる。セキュアヴェイルは「ログ収集をしない運用監視は、複式簿記をつけずに株式会社を経営するようなもの」と考え、ログをとるサービスを提供する。

●報告するアラートの種類

　あたりまえだがサイバー攻撃は、DDoS のようないやがらせを除けば、攻撃手法と脆弱性が合致した場合のみ脅威となる。そのため、たとえ Apache サーバを狙った攻撃パケットが観測されたとしても、ユーザー企業の環境に Apache サーバが一台も存在しなければ脅威とはなりえない。また、もし Apache が存在していたとしても、適切なパッチ管理が行われていて、その攻撃が無効となる場合も同様に脅威とはなりえない。何をあたりまえのことを言い出すのかと言われそうだ。

　SOC サービスの中には、攻撃パケットを観測した際に、その全てをアラートとして報告するサービスも存在する。だが、悪意のある通信がいったいどれだけ存在するのかといった、学問的好奇心でも持たない限り、通常は「自社の環境にとって脅威となるアラートだけ」報告してもらえばそれでいいだろう。セキュアヴェイルの SOC サービス「Netstare」は、後者のニーズを汲んで、顧客にとって脅威となりうる攻撃だけを顧客に報告する。

　そもそも前者（全報告）のニーズがあるのかとも思うが、あに図らんや、無効な攻撃でもなんでも「たくさん報告してくれてありがとう」と、サービスの質を量で評価するユーザー企業は、少なくない数存在するらしい。そういう人は、部下に対しても誉め上手だったりと、きっといい人なんだろうなと拝察するばかりだ。私的感想だが、「好人物」という言葉の三省堂新明解国語辞典の定義を思い出した。

●止めるか止めないか

　アラートが上がった場合、その通信を止めるか止めないかは、各 SOC サービスの考え方が分かれるところだ。通信を止めればその攻撃を根こそぎにすることはできるが、それによってサービスへ影響が出て、最悪、機会損失等の可能性も出てくる。インシデントだけでなく、SOC サービスと顧客との間で新たな係争に発展する可能性もある。そのため、アラートを報告するところまでを業務委託範囲として、止めるところまではやらないサービスが多い。リスクは誰も負いたくない。セキュリティ会社さえも。

　一方で、SOC サービス側が顧客のシステムやネットワーク環境、ビジネスを充分に把握して、事前に顧客との間で必要なコミュニケーションと握りまで行われていれば、SOC サービス側が通信を止めるかどうかの適切な判断を行うことも可能となる。ここは、監視している対象がクリティカルなのかそうでないのか、ユーザー企業側にセキュリティ専任者はいるのか等々、環境や体制によってニーズが変わるところでもあり、好みの問題とも言える。セキュアヴェイルの SOC サービス「Netstare」は依頼を受ければ通信を止める対応まで行う。

●ラボの存在

　SOC サービスの中には、「ラボ（ Laboratory：研究所）」と呼ばれる研究組織が併設されている場合がある。検体の分析を行ったり、オリジナルシグネチャを作成したり、さまざまな SOC サービスの支援を行う。多くのラボは、定期的にレポートを刊行したり、新しい攻撃手法等の調査研究結果を公表している。

　しかし一方で、ラボのエリート技術者は、たとえば Apache の脆弱性やその新しい exploit の検証は行っているかもしれないが、個別の顧客企業のネットワーク環境に Apache サーバが何台存在し、それらのバージョンがいくつであるか、そのサーバはどんな業務のために稼働しているか等々の泥臭い知識は当然持っていない。ユーザー企業とラボは地続きではない。

　ラボで研究テーマとなるような先端攻撃手法は、APT（ Advanced Persistent Threat ）の標的となりうる知財や情報を保有するような企業にとっては、まさに今そこにある危機かもしれない。だがそれが、大多数の企業にあてはまるとも限らない。ラボで作成されたオリジナルシグネチャの利益を被る（該当する攻撃を受ける）企業も多数派ではない。

　ラボを保有する SOC の技術水準が高いのは間違いない。しかし、ラボがない SOC が技術水準が必ず低いかというとそうとは限らない。だからもし、技術水準を担保する指標として、ラボや、そこにいるエヴァンジェリストの存在やその発言を参考にしようとしているなら、他にもサービス水準を担保する指標は、本稿が紹介するようにいくつも存在することを思い出してもいいだろう。

　セキュアヴェイルの SOC はラボを持たない。創業当初ラボを設立しようとしたが、ブランド構築には寄与しても、サービス水準の担保を顧客に感情的に与える以外の用途がなく、ラボの運用費用を料金に上乗せせざるを得ないのできっぱり辞めたという。要はユーザーメリットの小さい単なるマーケティング手段と判断した。

　関東と関西でセキュリティサービスの相場は大きく異なり、同じサービスを提供しても関西では約半分程度というのを以前書いたが、そういう東西事情もあるに違いない。つまり、ラボを置いてブランドを高止まりさせて請求書のゼロを増やす営業戦略は、千代田区・港区・中央区・新宿区・渋谷区・品川区（東証一部上場企業の多い東京 23 区の降順）の大手企業を顧客にできる東京のセキュリティ会社ならあり得るが、関西では成り立たないのだ。しかしその結果、ユーザーにコスト的にとても優しいサービスとして「Netstare」は成長することになったともいえる。

●どこまで運用に寄ったサービスか

　そもそもファイアウォールのルールを書く以前に、ネットワークというインフラを構成する機器として「きちんとその UTM なりファイアウォールを動かす」という、SOC ではなく NOC としての機能が必要だ。それがあってはじめて、ルール設定やアラート検知など「セキュリティオペレーション」をしっかり行うことができる。だが、稼働監視などの NOC サービスは契約範囲外という SOC サービスは多い。

[ Netstare の NOC 機能]
・障害復旧支援
・システムオペレーション
・性能監視
・稼働監視

　大半の SOC サービスは、読んで字のごとくセキュリティオペレーションに高い比重を置く。また、NOC 機能を提供してはいても、NOC の運用の話をしてもあまりユーザー企業に刺さらないため、Web サイトでも商談でも語られない。

　NOC 的な運用の話がユーザー企業に刺さらないのは、やれ「水飲み場型」だ「ランサムウェア」だ「サプライチェーン」だと、インターネット黎明期から 20 年以上にわたってセキュリティベンダが「新しい攻撃に名前をつけてその対策として製品を売る」という手法を貫いてきたからだ。時を経ていまや、ユーザーの頭には「セキュリティ ≒ 攻撃 ≒ インシデント対応」という、家事と火消し的図式が刷り込まれるに至った。火事場に飛び込む消防士にキュンとはするが、火事を起こさないための地味な活動にはなかなか目が行かない。

　確かに、脆弱性管理やパッチマネージメント等を粛々とやっているセキュリティ企業よりも、巨大な外部の敵の脅威を説き新カテゴリ製品を市場に問うた FireEye のような会社の方が「見映えする」ことも否定できない。

　本来、NOC と SOC は有機的に結びついた業務だ。ポイントの 2 番目で挙げたが、サーバの OS やそのバージョンを知っていることでドロップする通信も決定できるし、顧客に報告する必要のない攻撃かどうかも判定できる。「Netstare」では、たとえば FortiGate の OS のバージョン毎に、どんな内容のアップデートがされたか、それによってユーザーに生じたメリットとデメリットは何かを情報収集しており、それは創業から 20 年分存在する。下手すると売る側よりもよく知っているのではないか。そしてその情報収集対象は主要なセキュリティ機器やネットワーク機器全体に及ぶ。そのため、たとえベンダ側からアップデートを推奨されても「まだ貴社では必要ありません」と、顧客に対して、根拠に基づく説明を行うことができる。

　かつて、セキュアヴェイルが、ベンダの指示を受けてとある UTM のバージョンアップを行ったところ、関西製造業の雄と呼ばれる顧客のファイアウォールの、数百行のルールセットがすべてクリアされたことがあったという。それ以降「Netstare」では、全顧客のルールセットをすべて数世代前まで遡れるよう運用体制を変えた。

　「Netstare」が NOC と SOC が有機的に結びついたサービスを提供する特徴的な例として、SOC サービス顧客への定期的な脆弱性診断実施がある。SOCサービスに脆弱性診断がインクルードされており追加の料金はかからない。顧客環境に、外部の攻撃者視点から見て、侵入を許す脆弱性が存在しないかどうか、脆弱性診断と、ペネトレーションテストの予備調査的な定期セキュリティ診断を行い、それを顧客に報告する。もともとこのサービスは、創業直後「いったいどのような手続を踏めば SOC サービスを納品したことになるのか」と考え、攻撃者から見て穴がないことを網羅的に検証すれば納品であろう、と結論した結果だという。

　無償で診断ができるのは、攻撃対象であるシステムやネットワークを自分たち自身で管理運用しているから、初見の対象に対して脆弱性診断をしたりペネトレーションテストをするような事前準備がいらないからだ。もし同業他社なら、工数がかさんでお手上げとなるようなハイエンドサービスを、関東の半額で、しかもスピード感をもって提供できる体制を「Netstare」は整えた。

　「Netstare」の融通無碍の運用サービスは、ログ分析基盤を実質的に自社開発（同社100%出資グループ会社株式会社LogStareが開発）していること抜きに存在し得ない。

　たとえば UTM のメジャーバージョンアップが行われれば、吐き出されるログのフォーマットも、新しいものが追加されたりして変化することがあり、ログ収集分析基盤もそれに追従していかなければならない。「Netstare」を支える分析基盤「LogStare」は、早ければバージョンアップが行われた翌週に新しいフォーマットに追いつき、新フォーマットのメリットを分析に活用すること等も可能だが、これが Splunk などの自社開発ではないものを使っている場合、Splunk 側が最新版に追いついてくれるのを待つか、場合によってはリクエストを出さなければならず、同じスピード感の管理は容易ではない。

　取材協力をしてくれた株式会社セキュアヴェイルに対してこんなことを言うのは大変に申し訳ないのだが、彼らの分析基盤 LogStare と Splunk を並べて公平に比較すれば、きっと Splunk の方が性能や機能はいろいろ上なこともあるに違いない。だから、額に入れて美術館に飾っておくのだとしたら Splunk の方が良いのだ。だが不幸にして分析基盤というのは、日々運用し、現実の変化に対応していくものである。いったいどちらが安全に自社システムを管理してくれるのか。もはや考えるまでもないだろう。セキュリティとは飾り物ではなく運用してなんぼの総合格闘技である。

　可用性の高さによって性能の差など凌駕することができる。だから面白い。

　インシデントレスポンスや、未知の攻撃や新しいマルウェアの研究等々、多くの SOC サービスの視点は外を向いており、攻撃とその対処に大きく比重が置かれている。一方で、今回取材した「Netstare」のような、顧客の環境やビジネスという、まずしっかりと「足元を固める」内向きのベクトルのサービスも存在する。自社の安全を預ける SOC サービスの会社を選ぶ際に、本稿で紹介したポイントが、些少なりとも新しい視点を提供できたら幸いである。