ニュース
» 2017年03月08日 11時34分 公開

IIJがSOCを新設、高度なセキュリティサービス提供へ“ISPならではの強み”を生かしながら解析基盤を強化(2/2 ページ)

[高橋睦美,@IT]
前のページへ 1|2       

複数のサービスから得られるログを統合し「情報分析基盤」を強化

photo IIJ セキュリティ本部長の齋藤衛氏

 このようにSOC開設というとファシリティ面に注目が集まるが、IIJは同時に、「目に見えない基盤」も強化している。それが「情報分析基盤」だ。

 「ファイアウォールならばファイアウォール、IPS(Intrusion Protection System:侵入防止ステム)ならばIPS、DDoSならばDDoSとサービスごとに分かれており、異なるインタフェースを行ったり来たりする必要があった。それを統合した」(齋藤氏)

 この情報分析基盤には、ファイアウォールやIDS(Intrusion Detection System:侵入検知システム)/IPSなどセキュリティサービスを通じて収集したログ情報だけでなく、DNSクエリやバックボーントラフィックの変動など、ISPだからこそ得られる情報も蓄積される。これは、他のセキュリティ専業サービスにはない点だという。セキュリティ機器から収集する月に約1700億行のログに加え、月に900億行のWebアクセスログ、38億行のメールアクセスログなどが格納されていくという。

photo IIJが構築した「情報分析基盤」の特長

 こうした情報に、IIJの独自調査で得られた情報、さらにサードパーティーが公開している情報も加味したセキュリティインテリジェンスを、アナリストチームが機械学習も併用しつつ解析する。ここからマルウェアの配信元や操作を行うC2(Command and Control)サーバのレピュテーションや攻撃者のプロフィール、手法などを導き出し、次の対策に役立てる。

 過去にも同社は、独自の調査で浮上した「PUA(Potentially Unwanted Application)」について注意喚起を行うとともに、マネージドセキュリティサービスで運用しているファイアウォールやIPSのポリシーやシグネチャに反映して対策したことがあった。PUAとは、「必ずしもウイルスとはいえないが、参照したURLを外部に送信するなど、ユーザーにとって望ましくない動きをするアプリケーション」の総称だ。

 同様に、脅威分析基盤から得られたレピュテーション情報をISPとしての通信サービスそのものに活用し、悪意あるホストとの通信をDNSレベルで遮断するといった対策も検討しているという。

 3月からは、SOCを拠点にセキュリティ監視サービスを強化し、「IIJ C-SOCサービス」を開始している。IIJが運用するセキュリティ機器のログに加え、サーバやエンドポイントなどから得られる情報を基に顧客独自のSIEM(Security Information and Event Management)基盤を構築し、双方をIIJのアナリストが情報分析基盤と付き合わせながら分析する。何らかのセキュリティインシデントを発見したら、通知だけでなく設定変更を行ったり、対策案を提示し、サイバーキルチェーンを断ち切るサービスだ。これも「IIJ独自のインテリジェンスを活用することが特徴」と齋藤氏は述べている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。