（右から）NTTデータ先端技術 セキュリティ事業部 セキュリティオペレーション担当 サービス開発グループ長の水野健生氏、同 サービス運用グループ チーフエンジニアの堤紀考氏

　企業の通信環境を狙ったサイバー攻撃は新たな手法が次々に生まれており、一向に衰える気配を見せない。

　そうした中で企業が取るべき脅威対策として、入口対策と内部対策、出口対策を組み合わせた「多層防御」が必須であることは、今や広く知られている。

　インターネットと社内ネットワークの境界上で不正侵入を食い止める入口対策には、ファイアウォール（FW）やアンチウィルス、IDS/IPS（不正侵入検知・防御システム）、Webフィルタリングなどがある。これらを別個に導入するとコストや運用管理の負担がかかるため、1台に機能を集約したUTM（統合脅威管理）や、UTMにアプリケーションの可視化・制御機能を加えた次世代FWを採用する企業が増えている。

　しかし、サイバー攻撃とセキュリティ技術は常に“いたちごっこ”であり、どれだけ技術が進歩しても入口だけで100％防御することは困難だ。そこで脅威の侵入を前提に社内ネットワークを監視し、不審な動きがあれば迅速に検出して被害を未然に防ぐ内部対策や、社内から外部への通信を監視し重要データの漏えいを防止する出口対策の重要性が高まっている。

「侵入前提」で重要になる内部対策　アウトソースの活用で負担を軽減

　ある調査によると、サイバー攻撃者が最初の攻撃を仕掛けてから企業ネットワークに侵入し、重要データを窃取するまでの平均所要時間はそれぞれ数分程度にすぎない。その一方、企業がセキュリティの侵害に気付いてから対策を取るまでの時間は、被害を受けてから早くて数時間、場合によっては数カ月を要する（図表1）。被害を最小限に食い止めるには、早期発見が不可欠であることが分かるだろう。

図表1　早期発見の必要性

　ところが、入口対策と比べて内部対策の実施率が低い日本企業では監視・検知体制が十分ではなく、過去にも外部からの指摘で被害が発覚した事例が少なくない。

　こうした現状を受けて、経済産業省は2017年11月に公表した「サイバーセキュリティ経営ガイドライン」の改定版「Ver2.0」において、アクセスログや通信ログからイベントを監視し、検知した場合には速やかに対処できる体制の整備を推奨している。

　ただ、セキュリティ機器を自社で運用しようとすると、様々な課題が伴う。

　まず、日本企業ではセキュリティの専門人材が不足していることだ。

　一般的に、セキュリティ機器は攻撃の様々なバリエーションに対応する目的から検知条件を広く設定しており、攻撃以外の通信も過剰に検知する傾向がある。なかにはアラートの9割が攻撃と無関係だったケースもあるほどだ。

　検知すべきイベントか誤検知かを見分けられるセキュリティ人材がいれば問題ないが、日本ではIT管理者がセキュリティを兼務している企業が多く、必然的に手薄にならざるをえない。

　自社でSOC（セキュリティオペレーションセンター）を構築すればインシデントを検知する確率も高まるが、人材を確保し教育するのに時間がかかるうえ、SOCの構築・運用には莫大なコストが必要になる。

　できるだけ負担なく監視・検知体制を構築したい企業にお勧めしたいのが、MSS（マネージド・キュリティ・サービス）だ。アウトソースの専門集団を活用すれば、セキュリティ投資の費用対効果もぐんと高めることができる。

監視レポートや改善提案も提供　NTTグループの最新情報も反映

　MSSの選択時に重要な指標となるのが、セキュリティアナリストの存在だ。

　例えば、NTTデータ先端技術の「IntellilinkARGUS（インテリリンクアルゴス）」（以下、ARGUS）は、顧客企業に設置された監視対象機器から上がってくるログデータを自社のSOCでセキュリティアナリストが24時間365日リアルタイムに分析、脅威の判定を行う。脅威が検知されると顧客企業に電話で報告し、対応策を提案する。セキュリティ監視や緊急報告以外にも、機器の運用や死活監視、監視レポートの提供やセキュリティの改善提案など、“かゆいところに手が届く”充実したメニューを揃える（図表2）。アラートをメールで通知するだけだったり、問い合わせ先のないMSSもあるが、「日々新たな攻撃が生まれている状況では、機械任せにするのではなく、セキュリティアナリストの知見も活かすことが必要です」とセキュリティ事業部 セキュリティオペレーション担当 サービス開発グループ長の水野健生氏は説明する。

図表2　「IntellilinkARGUS」の概要

　ARGUSのSOCは最新鋭の設備を備えるのはもちろんのこと、大規模災害で電気やガスが止まった際の代替手段を確保しているため、途絶することなく監視を続けられるのも強みだ。また、脅威情報データベースには、セキュリティベンダー各社だけでなく、NTTグループ内のセキュリティ関連企業から集まってきた情報も反映される。

企業の要望に合わせて接続対応　自社でカスタムシグネチャの作成も

　ARGUSは、有力ベンダー各社のセキュリティ機器に対し監視サービスを提供している。これまで提供実績のない機種でも、企業の要望に合わせて柔軟に対応可能だ。物理アプライアンスだけでなく、AWSやAzureなどのクラウドサービス、VMWareの仮想アプラインスにも対応する。重大な脆弱性が公表されると迅速に各製品のシグネチャ検証を行っており、検知結果によっては自社でカスタムシグネチャを作成し対応することもある。

　導入企業は、NTTデータ先端技術の親会社であるNTTデータのシステム納入先の金融や官公庁が中心だが、「2020年の東京オリンピック・パラリンピックを前に、重要インフラを扱う企業や自動車メーカー、IT企業の間でもARGUSの活用が進んでいます」とセキュリティ事業部 セキュリティオペレーション担当 サービス運用グループ チーフエンジニアの堤紀考氏は話す。

　業種によって、セキュリティポリシーの基準や脅威検知後の対応の仕方は異なる。20年近くにわたり様々な業種の運用ノウハウを培ってきたNTTデータ先端技術なら、安心して任せることができる。MSSに関心のある企業には、ARGUSをお勧めしたい。