SecureWorks Japanは1月30日、川崎にある同社SoC(Security Operation Center)を昨年12月にリニューアルしたことから、プレス向けに公開した。

  • 川崎にあるSecureWorksのSoC

SecureWorksでは、米国のアトランタ、シカゴ、プロビデンスのほか、スコットランドのエジンバラ、川崎の5つのSoCを運用しており、企業に代わり、サイバー攻撃の兆候を24時間365日監視している。川崎は日本語対応が可能な点が大きな特徴で、現在25名ほどの人員によって交代制で運用している。今後は需要拡大に向け、人員は50名程度に倍増する予定だという。

  • 世界に点在するSecureWorksの施設

同社の監視のしくみは、FireWall、UTM、IDS/IPSなどのセキュリティ製品から出されるログを、企業ごとに設置されたCTA(カウンター・スレット・アプライアンス)というサーバに蓄積。CTAはオンプレミスのほか、AWSやAzureといったクラウドも利用できるという。

  • SecureWorksが提供するマネージド・セキュリティ・サービス(MSS)

SecureWorks Japan マネージドセキュリティサービス事業部 統括部長 兼 CTAC上席リサーチャー 浜田譲治氏

CTAでは、ネガティブフィルタ、ポジティブフィルタ、異常フィルタでフィルタリングされ、センター側のCTP(Counter Threat Platform)に送られる。CTPでは、正規化や集約が行われ、相関分析エンジンで優先順位をつけて分析。そして、最終的にCounter Threat Unit (CTU)のアナリストにより判断がくだされ、脅威のレベルに応じてLow、Medium、Highに分類される。

同社 マネージドセキュリティサービス事業部 統括部長 兼 CTAC上席リサーチャー 浜田譲治氏は、同社のSoCについて「CTA、CTP、CTUに分散させて、段階的に分析を行うのが特徴だ」と説明した。

  • CTA、CTP、CTUという3つの階層で解析

Highには、内部からの悪意のあるアクティビティ、ワーム/ウィルス、マルウェアの感染、不審サイトへのアクセス、外部からの侵入、DoS攻撃などがあり、すぐに電話およびメールでユーザー企業に通知される。

Mediumには、ワーム/ウィルス、マルウェアの感染、ブルートフォース、脆弱性スキャン、ポートスキャンなどがあり、メールで通知。Lowに関しては通知は行われない。

通知はイベント発生から15分以内に通知することを基本にしているという。

これらセキュリティ攻撃については、事前に時間単位のチケットを購入すれば、対応も依頼できる。

  • インシデント発生時の対応

また、日々の分析レポートはユーザーごとにポータルサイトが用意され、そこで参照できる。

  • ポータルサイト

国内では、製造、データセンター事業者、サービス、金融、インターネット事業者など多くの業種の人が利用しており、企業のCSIRTと連携(フィルタリングだけ利用する)することも行っているという。

同社 代表取締役 ジェフ・モルツ氏は同社のSoCについて「柔軟性、機動力、アジャイルが他社に対する優位性だ。AIやマシンラーニングは1999年から導入しているが、すべてを自動化するのではなく、最終的に人が判断するのも大きな特徴で、人が資本だ。大きな企業だけでなく、ミッドレンジの企業にも利用してもらえるようになっており、私は日本に来て3年になるが、それが一番の変化だ」と語った。

  • SecureWorks Japan 代表取締役 ジェフ・モルツ氏