ホワイトハッカーとセキュリティ機器の判定一致は36%--NTT Comが検証 - 6/6

渡邉利和

2019-03-29 10:19

 NTTコミュニケーションズ(NTT Com)は、同社のセキュリティ事業に関するメディア向け説明会を開催、併せてSOC(セキュリティ監視センター)を公開した。脅威が疑われる事象の判定精度が技術者と機器と異なるケースが多く、独自の工夫で対応しているという。

 事業概要を説明したセキュリティ・エバンジェリスト マネージドセキュリティサービス推進室長の竹内文孝氏は、デジタル変革がもたらす“光と影”を「新たな価値の創造」(光)、「未知のリスクの発生」(影)とし、セキュリティへの取り組みが重要になることを端的に表現した。同氏は、その具体例として2017年に世界的大流行を見せたWannaCryを取り上げた。

NTTコミュニケーションズ セキュリティエバンジェリスト マネージドセキュリティサービス推進室長の竹内文孝氏
NTTコミュニケーションズ セキュリティエバンジェリスト マネージドセキュリティサービス推進室長の竹内文孝氏

 このケースでは、Microsoft自身による脆弱性の警告(※WannaCry拡散に悪用されたServer Message Block v1プロトコルの危険性)が2016年に公表されており、2017年3月にはこれに対処するセキュリティ更新プログラムがリリースされ、さらに4月には攻撃者が攻撃ツールを公開したにもかかわらず、5月以降、実際に大量の感染被害が発生したという経緯だった。

 竹内氏は、この時の課題として「脆弱性情報が公開されても、当該ソフトウェアが自社内で使用されているのかどうかが把握できていない」「脆弱性情報そのものを認識していない」といった現状把握の不備が重大な問題となっているとした。

 また、米国立標準技術研究所(NIST)が公表しているサイバーセキュリティリスクに関するガイドラインを精査した結果として、ガイドラインが対象としている要件の大半(66~72%)は「内部起因/既知のリスク」であり、これにマネジメント体制に関する要件(20%)を加えると、約8割の要件が自社でコントロールできる領域に属するリスクだと紹介した。つまり、「やればできるはずのことがちゃんとできていない」ことがリスク原因となっている状況という指摘だ。

 なお、マネージドセキュリティサービスの提供者らしい同社の提言として竹内氏は、「全てを自社でやる必要はない。内製でなくてはいけない部分と外部に任せてよい部分をしっかり目利きすることが重要」と指摘している。

 こうした状況を踏まえ、同社はコンサルティングを含めた包括的なマネージドセキュリティサービスとして「WideAngle」を提供している。その運用体制について説明会当日は報道陣へのSOC公開も含め紹介した。

 竹内氏は、まずセキュリティ機器によるリスクの自動判定精度を同社で検証した結果を明らかにした。それによると、専門家による判定と一致したのは36%、過剰な判定が48%、過小な判定が16%だったという。誤判定による影響の大きさを考慮すれば、過剰な判定側に振れるのは正常とも言えるが、「アラートが多過ぎて何が重要なのか判断できない」というユーザーの声が聞かれることの裏付けになっているともいえる。

セキュリティ機器が自動判定したログの脅威度の精度を人間が検証してみた結果(出典:NTT Com)
セキュリティ機器が自動判定したログの脅威度の精度を人間が検証してみた結果(出典:NTT Com)

 同社のSOCでは、俗に“ホワイトハッカー”と呼ばれる高度な技術力をもつセキュリティエンジニアが約30人所属し、昼夜2交代体制でログ分析などを行っているという。当然ながら、出力される全てのログを人間が精査するのは不可能で、上述の通りセキュリティ機器の自動判定もあまり“アテ”にはならないとことから、AI(人工知能)技術なども導入した独自の分析エンジンを作成しているという。ホワイトハッカーのログの分析結果を随時、分析エンジンにフィードバックさせて絶え間なく精度を向上させているという。この点に竹内氏は、「市販ソフトウェアでは精度や使いやすさ、柔軟性などさまざまな面でわれわれの要求を満たせないため、自分たちが使うツールを自作している」と話した。

 なお、同社の東京SOCはデータセンターを収容可能な水準のビル内にあり、免震構造や非常用電源設備などの充分な災害対策が施されている上、さらに、徒歩でも数時間以内に移動できる近県にバックアップサイトを用意する入念な体制になっているという。今後サイバーセキュリティリスクがますます高まることが予測されることから、企業が自前でセキュリティを維持することは困難になってくるだろう。今後は、適切な外部の専門家の力を借りながら効率よく高度なセキュリティを保つための工夫が求められそうだ。

奥側が、ログ分析を担当する“ホワイトハッカー”の作業スペース。このエリアでは1人6面のディスプレイを並べ、大量の情報を一覧できるようになっている。6面というのは経験上得られた必要充分な数ということだ。他に、内部ネットワークから分離されてインターネットに接続されたノートPCが調査用として用意されている。サイバー犯罪者に調査を行なっていることを察知されないよう、このノートPCは一定時間毎にIPアドレスが付け替えられるなどの工夫が盛り込まれているという

奥側が、ログ分析を担当する“ホワイトハッカー”の作業スペース。このエリアでは1人6面のディスプレイを並べ、大量の情報を一覧できるようになっている。6面というのは経験上得られた必要充分な数ということだ。他に、内部ネットワークから分離されてインターネットに接続されたノートPCが調査用として用意されている。サイバー犯罪者に調査を行なっていることを察知されないよう、このノートPCは一定時間毎にIPアドレスが付け替えられるなどの工夫が盛り込まれているという

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]