米Symantecは12月5日、オーストラリアのシドニーにあるセキュリティオペレーションセンター(SOC)を、アジア太平洋地域のメディアに公開した。シドニーSOCの設立は2002年だが、2014年7月の新オフィス移転に伴い、SOC規模も拡大。Symantecアジア太平洋地域の日本担当でサイバーセキュリティサービス シニアディレクターのPeter Sparkes氏は、「未知の脅威を対処するには、攻撃予兆をいち早くつかむこと。SOCはその重要拠点だ」だと語る。
米国Symantecアジア太平洋地域・日本担当でサイバーセキュリティサービス シニアディレクターのPeter Sparkes氏
SOCとは、顧客システムのセキュリティ状況を、遠隔地から24時間365日体制で監視する機関。自社とパートナーの顧客企業が所有するセキュリティ機器からログを収集し、相関分析などを行ってサイバー攻撃とその予兆を検出し、対応策の立案を支援する。同社では支援サービスとして、「マネージドセキュリティサービス(MSS)」を提供している。
Symantecは現在、6900万台の攻撃検知センサと、1520億のファイルとマシンノードを持ち、年間10兆件のログを収集している。また、パートナー企業や第三者から得たマルウェアのメタデータ情報も分析プラットフォームに集約し、ファイルとURLを評価している。これにより、150テラバイトのデータをデータベースエンジンにロードし、毎日2万1500件以上のセキュリティインシデントを分析しているとのことだ。
同社のSOCは米国、英国、インド、オーストラリア、そして日本の5拠点にあり、世界規模で24時間監視体制を構築している。すべてのSOCは共通のシステムとモジュールを使い、同じプロセスでデータ分析を行っているという。
SymantecのSOCは米国(バージニア州アレクサンドリア)、英国(リーディング)、 インド(チェンナイ)オーストラリア(シドニー)、東京の5拠点にある。(出典:Symantec)
SOC組織はアナリスト、エンジニア、オンボーディング(顧客サービス)の3チームで構成されている。各地域のSOCは、特定言語(日本SOCなら日本語)でのインシデント情報の提供や、担当地域内顧客企業向けにカスタマイズされたサービスを、ニーズに応じて提供している。Sparkes氏は「全世界から収集されたデータを相関分析し、サイバー攻撃の兆候が見られた場合には顧客に通知する。緊急であれば、夜中でも顧客に連絡して脅威を伝える」と説明する。
セキュリティの脅威は、「既知の脅威」と「未知の脅威」に大別される。既知の脅威は、セキュリティ対策ソフトのパターンファイルや、侵入防御システムのシグニチャで検出できる。しかし、近年は未知の脅威が増加しており、「単体では何をしたいのかわからない潜在的な脅威が圧倒的に多い」(Sparkes氏)。こうした状況からも、SOCの顧客数は堅調に伸びているという。
シドニーSOCの内部。Symantecオフィス内にあり、「通常は基本的にSOCメンバーしか立ち入ることができない」という