セキュリティ運用管理サービスプロバイダであるSecureWorksは1999年に設立され、2011年にDellに買収された。日本では、2013年2月よりサービス提供を開始し、今年に入り新たな責任者を迎え、さらに国内事業を強化している。

米Dell SecureWorks Atlanta Security Operations Center ネットワークセキュリティ・ディレクタ テレンス マクグロウ(Terrence McGraw)氏

前回は、同社の幹部のインタビューを通して、同社のビジネスの概要と今後の戦略について説明したが、今回は、同社がサービスを提供する上で欠かせない施設であるSOC(Security Operation Center)について、その責任者であるテレンス マクグロウ(テリー・マグロー、Terrence McGraw)氏に話を聞いた。

同氏は米Dell SecureWorks Atlanta Security Operations Centerネットワークセキュリティ・ディレクタで、以前は米国政府のサイバーセキュリティ対策を担当していたという。

同社のSOCは以前7カ所あったが、現在は5カ所に集約されているという。具体的には、米国に3施設(イリノイ州シカゴ、ロードアイランド州プロビデンス、ジョージア州アトランタ)、スコットランドのエジンバラに1施設、そして日本の川崎だ。

米ジョージア州アトランタにある同社のSOC

テリー・マグロー氏によれば、同社のSOCにはグローバルで500人以上の人員がおり、SOCで働くメンバーはすべて、何等かの資格を有するエキスパートだという。具体的には、SOCのアナリストは全員、SANS GCIA GIAC Certified Intrusion Analyst 認定のセキュリティアナリストで、この認定試験は合格するのが非常に困難だという。有資格者は世界でわずか4,800名弱だが、同社には70名以上の有資格者がおり、これはベンダーとしては最大規模だという。なお、川崎の施設では6名のSOCアナリストがいるということだ。

SOCの役割

テリー・マグロー氏は、Dell SecureWorksのSOCの特徴について、「1つのユニークな側面として、MPLE MultipleProcess Logic Engineで駆動する独自の技術CTP Counter Threat Platform)が挙げられる。これはセキュリティイベント分析エンジンで、25万を越す異なる分析を実行する。このエンジンで 1日当たり1,100億を越すイベントを処理し、約7,500件ほどは疑わしいイベントまたは悪質なイベントと認定される。これらは、GCIA認定セキュリティアナリストによって分析される。最終的に7,500件のイベント中約4,000がセキュリティインシデントとして特定され、お客様にレポートする」と説明した。4,000件のうち、500件程度が非常に危険なイベントだという。

そして、新たに発見された悪質なイベントは、MPLE MultipleProcess Logic Engineにフィードバックされ、次回以降の分析に利用される。このサイクルは非常に短く、それが他社との大きな差別化要因になっているという。

MPLE MultipleProcess Logic Engineについて説明するテリー・マグロー氏

同氏はここ3年ほどサイバー攻撃が増加していると指摘し、その要因として、ハッカーツールを数百ドルでだれでも購入でき、とくにスキルがなくてもサイバー攻撃を仕掛けることができる点を挙げた。

ここ半年では、「Living Off theLand」という攻撃が増えているという。これはリスト型攻撃と呼ばれるもので、企業の従業員が持つネットワーク資格情報を巧みに工作し、その資格情報を使用することで、標的とする組織ネットワークへの侵入を試みるという攻撃だ。

このような攻撃に対して同社では単にアラートをあげるだけでなく、マネージドサービスとして、パッチを当てたり、機器の設定変更をリモートで行うサービスも提供する。パッチに関しては、その企業のポリシーに適合した特別のパッチを開発することもあるという。

最後に、同氏に今後SOCをどのように強化していくのか聞いたところ、「新たなアナリストを見つけてトレーニングをしていく。そして、MPLE MultipleProcess Logic Engineを強化し、さらに高速に処理できるようにしていく。また、セキュリティリスクを企業の人に説明、啓蒙し、より強固な体制をつくっていきたいとも思っている。リスクは企業ごとに異なり、守るべき情報も違う。我々は、セキュリティリスクではなく、ビジネスリスクに対応しようとしている」と語った。