NTT技術ジャーナル　2014.844

企業を取り巻く情報セキュリティ脅威

日本で標的型攻撃やAPT＊1という言葉が認識され始めたのは，2011年9月に報道された防衛産業や官公庁へのサイバー攻撃だと思います．韓国でも，2013年3月にGDP（国内総生産）攻撃ともいわれる金融機関や放送局を標的にした大規模な事件が起こり，ここ1年で，Webサーバやインターネットで広く使われているソフトや暗号化技術に重大な欠陥（脆弱性）が見つかり，世界中がその対応に追われました．2014年2月には，米国の国立標準技術研 究 所（NIST: National Institute of Standards and Technology）がサイバーセキュリティフレームワークをリリース，国の機関が民間へのセキュリティ対策導入を強く推奨するなど，サイバー攻撃は経済や国益に多大な影響を及ぼしかねないものとして認識されています．

総合リスクマネジメントサービス� �「WideAngle」

NTTコミュニケーションズは，2003年にセキュリティオペレーションセンタ（SOC）を設立しました．その後，海外のセキュリティ専門事業会社2社を買収し，2013年6月に総合リスクマネジメントサービス「WideAngle」の提供を開始しました．同サービスは，①企業のICT環境の調査 ・ 改善 ・ モニタリングを含め総合的なコンサルティングを中心としたプロフェッショナルサービス，②セキュリティ対策機器などの導入サービス，③セキュリティ機器などのログを解析し，不正アクセスや情報漏洩を検知するマネー

ジドセキュリティサービス（MSS）からなります（図 1）．なお，コンサルティングサービスは8000件の実績があ

り，MSSにおける運用機器台数は8500台にのぼります．

巧妙化するサイバー攻撃を分析 ・検知するMSS運用基盤の開発

アンチウイルスのパターンファイルや攻撃コード検知のシグネチャによる検知など従来のセキュリティ対策は，過去の情報を分析することによりサイバー攻撃を防御してきました．一方，昨今は短いサイクルでの新たな手法による攻撃やゼロデイ攻撃など，過去情報の分析では間に合わない事態が頻発しています．

このため，過去ではなく現在の情報を分析し，検知する防御策として，サンドボックス＊2技術や高機能ファイアウォール＊3を用いた対策がここ数年注目を浴びるようになりました．標的型攻撃では，アンチウイルスでは検知で

＊1 APT（Advanced Persistent Threat）：標的型攻撃の一種であり，特定の組織に不正侵入し，時間や手段などを問わず目的達成に向けて標的に特化して行う継続的な攻撃のことを指します．

＊2 サンドボックス（Sandbox）：保護された領域内でプログラムを動作させることで，その外へ悪影響が及ぶのを防止するセキュリティモデルです．

図 1 　WideAngleおよびMSSの概要

プロフェッショナルサービスセキュリティ対策機器などの導入サービスマネージドセキュリティサービス

■マネージドセキュリティサービス

総合リスクマネジメントサービス

個別メニュー（MDM，ウイルス対策等）

セキュリティ対策メニュー

インフラストラクチャ

プロテクション

ネットワークセキュリティ Firewall/IPS&IDS

コンテンツセキュリティ

Email-Anti-VirusWeb-Anti-VirusURL FilteringAnti SPAMWAF

VMセキュリティVM-Anti-VirusVM-Virtual PatchVM ｰ Firewall

リスク

マネジメント

脆弱性マネジメント

プロファイリングApplication ProfilingNetwork Profiling

リアルタイムマルウェア検知 RTMD Web/email

CLA （非セキュリティ設備との総合ログ相関分析）

オペレーションメニュー� メニュー

機能 コバルト マリン アクア ナイト スカイ

機器ライフサイクル管理 ○ ○ ○

SIEMエンジンによるリスク分析

○ ○ ○ ○

専門アナリストによる高度なリスク分析と改善提案

○ ○

×

from NTTコミュニケーションズ

巧妙化するサイバー攻撃を解析 ・検知するセキュリティ運用基盤の開発――総合リスクマネジメントサービス「WideAngle」近年の不正アクセスやウイルス感染，情報漏洩などのセキュリティリスクの飛躍的な増加は，企業の存続を揺るがすほどの多大な損失を招きかねない状況にあります．こうした中，NTTコミュニケーションズグループでは，セキュリティリスクの調査 ・改善 ・モニタリングを総合的に行う総合リスクマネジメントサービス「WideAngle」を2013年6月より提供開始，巧妙化するセキュリティ脅威に対応するために，マネージドセキュリティサービス（MSS）運用基盤をNTT研究所と連携して独自開発しました．

NTT技術ジャーナル　2014.8 45

きないマルウェア，いわゆる未知のマルウェアをメールやWebサイト経由で企業ネットワークに侵入させますが，前者の技術では，サンドボックスと呼ばれる隔離された仮想環境にて「今送られてきた被疑ファイル」を実行し，プログラムの挙動をトレースすることで，「現在情報に基づくマルウェア判定」を行います．本技術による対策は，「リアルタイムマルウェア検知（RTMD）」サービスとしてMSSにおいてメニュー化しています．また，後者の製品では，許可された通信ポートを悪用した，情報漏洩の原因となり得るようなアプリケーションを検知したり，同製品が生成する各種ログを分析することで通常時と異なる通信を解析するなど，現状の通信を見張ることでサイバー攻撃がないかを監視できます．同製品を活用した対策もプロファイリングとして，MSSにてメニュー化しています．

このような新しいタイプのセキュリティ機器による防御に加え，さまざまなセキュリティ機器および，プロキシサーバ＊4やDNS＊5，各種サーバなど非セキュリティ機器からのログ情報を分析することでより強固な対策を目指すアプローチがあります．一般的には，SIEM＊6という名前で知

られ，市販製品もありますが，当社ではMSS運用基盤としてSIEMを独自開発し，過去，現在の分析だけではなく，未来，つまりトレンドの分析による未知の攻撃検知を実現しています（図 2）．

そのような検知を可能とするために，独自開発のSIEMは①リアルタイム分析エンジン〔CEP（Complex Event Processing）エンジン〕，②バッチ分析エンジン，③相関分析機能の3つを具備し，その結果をリスクアナリストが検証することにより，より精緻な攻撃検知を実現しています（図 3）．

① 　CEPエンジン：機器のログデータをリアルタイムで取り込み，独自に開発したシグネチャならびにルール（ロジック）を適用することにより「現在」発生している脅威を検知します．例えば，データ転送のないコネクション，ブラックリスト登録先へのTCP/UDPコネクション等の検出や，オフィス時間外のサーバログイン，複数回のログイン試行等を自動検知しています．これはセキュリティ機器の検知を非セキュリティ

＊3 高機能ファイアウォール：従来のファイアウォール機能に加え，トラフィック内のアプリケーションを識別し可視化，制御することができ，IPSやアンチウイルス機能も有する製品もあります．

＊4 プロキシサーバ（Proxy Server）：企業などの内部ネットワークとインターネットの境界にあり，直接インターネットに接続できない内部のコンピュータに代わって，代理としてインターネットとの接続を行うコンピュータのことです．

＊5 DNS（Domain Name System）：インターネット上のホスト名とIPアドレスを対応させるシステムです．

＊6 SIEM（Security Information and Event Management）：「セキュリティ情報およびイベント管理」と訳され，「シーム」と発音します．サーバやネットワーク機器，セキュリティ機器，各種アプリケーションから集められたログ情報に基づいて，異常があった場合に管理者に通知したり，その対策方法を知らせたりする仕組みです．

図 2 　リスク検知の考え方

過去既知の脅威との照合

未来　 傾向分析

現在現在進行している通信パターンの解析

リスクの特定

図 3 　SIEMのコンセプトと機能概要

SIEMGROC

カスタマイズ・チューニング

独自ノウハウによる新たな脅威の検知

バッチ分析エンジン

イベント＆ログの収集

お客さま

相関分析

CEPエンジン

誤検知率改善検知精度向上

NTT コミュニケーションズ独自ブラックリスト

ノウハウの反映影響度マトリックス手法

リスクアナリスト予兆検知

脅威検知

影響判断

深刻度判定 自動通知

GROC: Global Risk Operations Center

アナリストの報告

NTTセキュアプラットフォーム

研究所独自データベース

セキュリティ対策製品のログ

各種サーバなどのログ

ネットワーク機器のログ

お客さま別情報・地域別データベース・お客さまシステムの情報

カスタマポータル

NTT技術ジャーナル　2014.846

機器のログ，および独自の知見により補完し，リスクアナリストによる検証を支援します．

② 　バッチ分析エンジン：一定期間のログデータを取り込み，時系列の中で攻撃もしくは攻撃の予兆と思われるものを検知します．例えば，一定時間内に特定国との接続を繰り返しているパターン，一定のデータ量通信を繰り返しているパターン等を自動検知しています．これにより，ある過去時点でのリアルタイム検知をかいくぐった，未来に活動するタイプの攻撃を検出します．

③ 　相関分析：上記エンジンに組み込まれている機能で，ログ分析結果にスコアを付加し，そのスコアの合計に応じて脅威評価値を設定し，アラートを生成します．例えば，ブラックリスト登録先からの接続後，サーバ認証のエラーが発生している場合，双方のスコアを合計し，単独で発生しているケースよりも高い脅威評価となります．これらの相関分析はセキュリティ機器だけではなく非セキュリティ機器も対象として当該処理を実施するため，広範囲のログ検査を実施し，リスクアナリストの広範な分析，つまり過去の通信と現在検知している脅威 ・ もしくは不審な通信から，潜在的な脅威，未来に発見し得る脅威の検知を可能にします．

これらの仕組みにより，セキュリティ機器に依存した従来のセキュリティ運用の課題であった，検知漏れや誤検知による非効率，脅威の見逃しを改善し，誤検知の低減および検知精度の大幅な改善，イベント対応の効率化 ・ 迅速化を実現しました．①，②の現時点でのロジック数はそれぞれ200と90を超えていますが，独自開発の運用基盤ゆえに，リスクアナリストの分析業務で得たノウハウを検知ロジックとしてSIEMエンジンに取り込むことが可能で，検出ロジックの陳腐化を防ぎ，巧妙化するセキュリティ脅威に対応できるようにしています．

この独自開発のMSS運用基盤により，「リスクアナリストによるさらなる高度なリスク分析と改善提案」という高レベルサービスだけでなく，人の手を介さないSIEMエンジンによる自動リスク分析もメニュー化することができ，顧客のセキュリティリスク許容度やセキュリティ運用レベル，予算に応じてサービスを選択できようになりました．高レベルサービスでは，リスクアナリストはSIEM分析に含まれる脅威評価や分析対象のパケットキャプチャ等を参

照し，さらに詳細な解析を行い，お客さまごとに検知した攻撃に対する対応方針を定め，セキュリティ機器の設定変更を行うなどの対応を実施します．ある1万人規模の企業において，SIEMエンジンによる自動分析とリスクアナリストによる詳細分析を実施したところ，ファイアウォール，IPS＊7，プロキシサーバの1日のログ1200万件から得られた対処すべきインシデントの数は7件でした．このことから，SIEMエンジンがいかに緻密なロジックを求められ，自動化なしでは脅威の抽出は困難であること，リスクアナリストのアシスト機能の充実，リスクアナリストの経験値が重要であることが分かると思います．

MSS運用基盤の活用

企業の事業，そしてICT基盤のグローバル化に伴い，情報セキュリティもグローバルシームレスの観点でとらえ，対策を講じることが重要です．WideAngle MSSはグローバルに展開していますが，情報セキュリティは通信（ログ）の分析が伴うため，自国企業の機密情報を守る目的や国防の理由で，ログの国外転送を規制している国があります．MSS運用基盤は，SIEMエンジンやデータベース，ログ保管機能をPoD（Production on Demand）としてパッケージ化することが可能で，そのような国に配置し，規制に対応することでグローバルサービスを実現しています．

また近年，市場環境や経営戦略に応じて柔軟に対応できるICT環境を求めて，クラウド利用が進んでいます．情報セキュリティは弱いところから破られるということを想定する必要がありますが，前述した地域差をなくすだけでなく，さまざまなICT環境においても均一のセキュリティレベルが求められます．NTTコミュニケーションズの企業向けIaaS＊8「Bizホスティング Enterprise Cloud」では，WideAngle MSSの豊富なメニューがオプションサービスとして利用でき，企業はオンプレミス環境とともに一元的なセキュリティ管理が可能となります．

セキュリティリスクマネジメントモデル

冒頭，脆弱性の事例に触れましたが，公表された脆弱性の危険度が高い場合，早急な対応が求められます．また，脆弱性が発見されたソフトウェアが広く使われている場合，企業規模によっては，チェック対象が数100のシステ ム に 及 ぶ こ と も あ り ま す． そ こ で 我 々 は，ISMP

（Information Security Management Platform） を 開発し，ICT資産情報をデータベース化し，システム固有の資産情報に基づいた脆弱性情報を自動抽出し，システム管

＊7 IPS（Intrusion Prevention System）：サーバやネットワークへの不正侵入を阻止するシステム．

＊8 IaaS（Infrastructure as a Service）：情報システムの稼動に必要な機材や回線などの基盤（インフラ）を，インターネット上のサービスとして遠隔から利用できるようにしたサービスや事業モデル．

NTTコミュニケーションズfrom

NTT技術ジャーナル　2014.8 47

理者に通知できるような仕組みを実現しました．これによりセキュリティ管理を各システム管理者に委ねるのではなく，一元的に抜け漏れなく管理することが可能となりました（図 4）．

さらに，ISMPやプロフェッショナルサービス，MSSを活用し，企業がリスクマネジメント活動をICT環境整備 ・システム開発のライフサイクルに組み込めるようなリスクマネジメントフレームワークを確立しました（図 5）．

今後のロードマップ

MSS運用基盤のSIEMエンジン開発では，リスクアナリ

スト支援に主眼をおいた機能だけではなく，自動通知に特化したエンジンや，セキュリティ機器との自動連携等を組込み，リスクアナリストによる高付加価値サービスと自動化による低廉サービス双方を志向していく考えです．また，MSSの高付加価値サービスとプロフェッショナルサービスと合わせて，企業のGRC＊9支援を強化し，グローバルMSSP（マネージドセキュリティサービスプロバイダー）のトッププレイヤを目指していく所存です．

◆問い合わせ先NTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室

TEL 03-6800-8346FAX 03-3574-8803E-mail　mss-sp-cp ntt.com＊9 GRC（Governance Risk Compliance）：経営の意思決定効率を高めるた

めの統合的リスク管理手法です．

図 5 　リスクマネジメントフレームワーク

本フレームワークは情報セキュリティとリスクマネジメント活動をシステム開発ライフサイクルに組み込むため，統制のとれた構造化されたプロセスを提供する．

グローバルビジネス環境における様々なICTシステム

運用

CSO※1 CSIRT※2

連携

総合コンサルティング 非常勤エキスパート

インシデントレスポンス 拡張・最適化

脆弱性診断総合コンサルティング

インシデント

レスキューサービス

プロアクティブヘルプデスク

MSS

脆弱性対策

▲提供判断▲開発判断脆弱性管理体制整備

MSS総合コンサルティング

リスク評価・分析

セキュリティ機器導入

脆弱性マネジメントISMP

開発・構築企画・設計

GRCソリューション

バーチャルCSO

※ 1 　CSO（Chie f Secur i t y Officer）：最高情報セキュリティ責任者．

※２　CSIRT（Computer Security Incident Response Team）：コンピュータセキュリティにかかるインシデントに対処するための組織の総称．

図 4 　ISMPによる脆弱性マネジメントの仕組み

CISO，セキュリティ管理者が，より簡易に抜け漏れなく，企業全体のセキュリティ・ガバナンス強化を実施お客さまシステム

フェーズ 3診断結果と脆弱性情報に基づく対策実施

フェーズ 1ICT資産登録・データベース化，管理（システム名，用途，IP，OS・AP等）

（効果 1）システム固有の資産情報に基づき，的確に診断実施

（効果２）診断結果に基づく対策実施計画と実施状況を一元管理

（効果３）登録システム全体の脆弱性管理状況を統合的にレポートし，ボトムラインを可視化

全登録システムの脆弱性対応状況管理・脆弱性の有無および規模・対策実施の計画と実績

フェーズ 2・脆弱性診断（定期，随時）・当該システムに必要な脆弱性情報を抽出，自動通知

警報配信，問合せ対応

ISMP

セキュリティ管理者 CISO