増大するセキュリティ対策、 あなたにできますか？
社内LAN（イントラネット）が情報セキュリティの要となっている。IP-VPNでネットワークを閉鎖しても、持ち込みPCからのウイルス／ワーム感染、RAS経由でのクラッカー侵入、内部関係者の不正アクセスは根絶できない。こうした現状を踏まえ、企業としてセキュリティを守るすべはあるのだろうか？

　いまさらセキュリティ対策の重要性を説く必要はないだろう。実際、多くの企業がそれなりの対策を実施済みだ。最近では、IP-VPNを利用して企業ネットワークの拠点間通信を閉鎖型にすることも一般化してきた。加えて、7割の企業が社内にある9割以上のPC端末にアンチウイルスソフトを導入している。

　ところで、IP-VPNやアンチウイルスソフトを導入すれば万全だと思っていないだろうか？ 社内LAN内には、IP-VPNなどの閉域網では防げない脅威が存在する。これを正しく認識し、対策を施しているか。あるいは、FWやIDS、IPSを導入し、正しく運用していると自信を持っていえるだろうか。以下の対策が社内で実施されているかどうか、そして実施し得るかどうか、あらためて検討してみよう。

■IDS／IPSの運用

• 適切なシグネチャ適用とポリシーチューニング
  IDS／IPSを運用するには、適切なシグネチャを適用し、それらが効力を発揮するようにポリシーをチューニングしなくてはならない。2000種類以上あるシグネチャの効能を理解し、最新シグネチャへと更新していくことはできるだろうか？
  
  
• アラートログを読み抜くスキル
  侵入検知機器の運用には、アラートログを読み抜くスキルが重要だ。FWやIDSは正常なアクセスを「不正アクセス」と誤検出することが多い。特にネットワーク型IDSはログの量が膨大になる。その中から本当に重要なアラート（不正アクセスの痕跡）を見抜くには、かなりの知識と経験が必要だ。あなたにはそのスキルがあるだろうか？

■社内LANに忍び込む脅威の監視と排除

• 持ち込みPCの危険性排除
  デスクトップ管理を実施していても、社員が持ち込んだPCまでは対処できない。自宅などからのRAS接続を禁止するのも難しい。これらの端末がウイルス／ワームをばらまいたり、不正アクセスの温床となる可能性は常にある（2003年にまん延したMSBlastの被害企業で感染原因の1/4は持ち込みPC）。この環境下で社内LANを守る自信はあるだろうか？
  
  
• バックドア経由の不正侵入防止
  「rootkit」「SubSeven」など、高性能なバックドアツールがアンダーグラウンドで出回り、手口も巧妙化している。IDS／IPSの検知に引っ掛からず、被害が現れるまで気付かないこともある。クラッカーの最新手口を研究し、IDS／IPSのシグネチャを更新したり、ログから痕跡を見抜くスキルを養う必要がある。

■セキュリティ情報の収集と対応

• 膨大な情報収集と予防措置の徹底
  ITベンダやJPCERT、CERT Advisoryなどの調査機関から、毎日大量のセキュリティホール情報や新種ウイルス／ワームに対する注意、警告が報告されている。これらの情報を常に収集し、危険度を判断して予防措置を取ることができるだろうか？ また、セキュリティパッチやパターンファイルを素早く適用できる体制が整っているだろうか？
  
  
• 24時間365日の運用体制
  セキュリティ対策は時間との戦いになってきた。1時間でも対応が遅れると、大きな被害を招く。では、休日の深夜にIDSが発したアラートやアンチウイルスベンダが公開したパターンファイルに即応できる管理体制は整っているだろうか？ あなたは、24時間365日、年末年始もセキュリティ対策のために待機していられるだろうか？

　社内LANで必要となるセキュリティ対策の大枠だけでも、これだけ煩雑な作業が要求される。それぞれの作業には専門的なスキルが必要であり、専門スタッフを抱えなければならない。果たして、これだけの対策を自社で実行できるのだろうか。管理者の方は自分が作業する立場として、経営者はコストの面から、それぞれ考えてみてほしい。

　IT部門の限られたリソースを考えると、社内LANのセキュリティ対策まで十分手が回らない企業も多いだろう。そして、十分な人員をそろえるほどのコストもかけられないだろう。ただ、そのままでのやり方では、「いつ事故が起こっても不思議でない」という経営リスクは軽減されない。

　企業が抱えるこうしたジレンマを解決するには、抜本的な手段が必要だ。つまり、自社で実現できないのであれば、技術力を持った企業にアウトソースすればよいのである。このようなニーズに応えるソリューションが、NTTコミュニケーションズが提供する「セキュリティオペレーションパック」だ。

　セキュリティオペレーションパックは、同社の統合VPNソリューション「Arcstar IP-VPN」のオプションサービスである。同サービスを導入すると、社内LANの現状分析に基づき、FW、IDS、IPSの最適配置提案から機器の選定・導入、そのリモート運用（最新シグネチャの適用、最適なポリシーチューニングなど）、ウイルス／ワーム感染による被害発生時の復旧作業、事後のシステム改善提案までをNTTコミュニケーションズがワンストップで提供してくれる。

図1　セキュリティオペレーションパックのサービス提供イメージ（画像をクリックすると拡大表示します）

　セキュリティオペレーションパックの基本メニューを以下に示す。導入する侵入検知・防御機器は短期レンタル供与なので、買い取りやリースに比べて陳腐化を防げる。加えて、「不正アクセス監査」「イベント通知」「緊急対処」など、きめ細かいオプションメニューが用意されている。小規模から大規模LANまで幅広く適用でき、監視・対策のサービス水準も柔軟に設定可能だ。一方で、既存のネットワーク構成をほとんど変更する必要がないため、最短18営業日での導入もあり得るという。

　その結果、ユーザーIT部門はセキュリティ情報の収集やIDS／IPSのシグネチャ更新といった作業から解放され、24時間365日の運用体制を構える必要もなくなる。NTTコミュニケーションズからは、FW、IDS／IPSのログ情報などを集約するポータルサイトやヘルプデスク、レポーティングなどのサービスが提供されるので、ユーザーは労せずして運用状況を一元的に把握できる。

　セキュリティオペレーションパック最大の魅力は、NTTコミュニケーションズが運営する国内最大級のセキュリティ監視・対策拠点「セキュリティオペレーションセンター」（SOC）の技術力と情報収集力を24時間365日フルに利用できることだ。SOCによるセキュリティ対策は、一般企業では決して実現し得ない水準なのである。

　NTTコミュニケーションズは、国内最大級のIPネットワークベンダとして多くの公共機関や大企業のネットワーク運用を手掛けている。SOCは、そうした案件で要求される非常にシビアなセキュリティ対策を担う中枢機関である。そして、世界的なセキュリティベンダであるトレンドマイクロおよびISS（Internet Security Systems）社との協業により、強固な運用体制を確保している点が特徴だ。

　ご存じのとおり、トレンドマイクロはアンチウイルスソフトの最大手で、世界に400名のウイルス解析技術者を擁する。ISSは侵入検知・防御製品で高いシェアを持ち、独自研究機関「X-Force」がアンダーグラウンド情報も収集している。一方のNTTコミュニケーションズには、国内外大手企業のネットワーク運用を支え、IPバックボーンを常時見守る保守運用部隊がある。セキュリティベンダ2社の情報収集・解析力とNTTコミュニケーションズの監視体制を集結させたSOCは、世界最高水準の監視・対策体制を持つといっても過言ではない。

図2　世界を代表するセキュリティ企業とアライアンス

　SOCは、全世界から集まる膨大なセキュリティ情報を日々収集・解析している。インシデントを確認すると、契約ユーザーのIT部門へ状況を報告しながら、各拠点に設置されたIDS／IPSの状況をリモートでチェック。不正IPを切り分けたり、速やかにFWのフィルタリング設定を行うなどして予防措置を取る。現在、SOCは約1300種類の不正アクセス検知パターンを保持しており、さらに情報を収集して検知精度を高めている。

　また、トレンドマイクロは新ウイルス／ワームに対するパターンファイルを作成すると、両社の直接ルートにより迅速にそれをSOCに提供する。SOCは、迅速にパターンファイルをユーザーのシステムへ一斉適用する。仮にウイルスなどの感染を確認した場合は、ネットワークから感染部分を切り離し、被害を最小化する。

　万が一被害が拡大すれば、専門技術スタッフが復旧作業を迅速に支援する。事後には、被害の状況・原因を分析して改善策の提案も行う。つまり、セキュリティ対策の「サイクル」ともいえる一連のサービスを享受できるのだ。セキュリティオペレーションパックは、事前の「情報収集」「予防措置」と事後の「早期復旧」「システム改善」の組み合わせで、セキュリティ対策のTCO削減を実現するのだ。

図3　被害は指数関数的に増大する。迅速な対応がTCO削減のカギ（画像をクリックすると静止画を表示します）

　さて、あなたの会社は、自社でSOCのような専門組織を抱えることができるだろうか。経営者に理解があり、予算を増やしてくれたとしても、高い技術水準を持つ専門組織をゼロから作り、維持するのは難しいはずだ。時間をかければ可能かもしれないが、不正アクセスやウイルスは組織が整うまで待ってはくれない。となれば、「セキュリティ対策は戦略的アウトソーシング」という最適解が見えてくる。

　一般的な業務システムの運用アウトソーシングでは、「サービス水準を維持したままコストを引き下げられるなら外部委託する方が合理的」という判断が多い。換言すると、コストメリットがなければ外部委託する理由はない。セキュリティ対策がこれに当てはまらないのは、自社では達成できないほど高いサービス水準が要求されているということだ。そして、必要な水準は高まる一方だ。

　セキュリティ対策は、セキュリティを脅かす要因を深く知り、対策を日々研究している外部事業者に任せる方が合理的になってきた。NTTコミュニケーションズのセキュリティオペレーションパックなら、安心して自社の安全を任せられるだろう。