IIJがSOCを新設、高度なセキュリティサービス提供へ：“ISPならではの強み”を生かしながら解析基盤を強化（2/2 ページ）

複数のサービスから得られるログを統合し「情報分析基盤」を強化

IIJ セキュリティ本部長の齋藤衛氏

　このようにSOC開設というとファシリティ面に注目が集まるが、IIJは同時に、「目に見えない基盤」も強化している。それが「情報分析基盤」だ。

　「ファイアウォールならばファイアウォール、IPS（Intrusion Protection System：侵入防止ステム）ならばIPS、DDoSならばDDoSとサービスごとに分かれており、異なるインタフェースを行ったり来たりする必要があった。それを統合した」（齋藤氏）

　この情報分析基盤には、ファイアウォールやIDS（Intrusion Detection System：侵入検知システム）／IPSなどセキュリティサービスを通じて収集したログ情報だけでなく、DNSクエリやバックボーントラフィックの変動など、ISPだからこそ得られる情報も蓄積される。これは、他のセキュリティ専業サービスにはない点だという。セキュリティ機器から収集する月に約1700億行のログに加え、月に900億行のWebアクセスログ、38億行のメールアクセスログなどが格納されていくという。

IIJが構築した「情報分析基盤」の特長

　こうした情報に、IIJの独自調査で得られた情報、さらにサードパーティーが公開している情報も加味したセキュリティインテリジェンスを、アナリストチームが機械学習も併用しつつ解析する。ここからマルウェアの配信元や操作を行うC2（Command and Control）サーバのレピュテーションや攻撃者のプロフィール、手法などを導き出し、次の対策に役立てる。

　過去にも同社は、独自の調査で浮上した「PUA（Potentially Unwanted Application）」について注意喚起を行うとともに、マネージドセキュリティサービスで運用しているファイアウォールやIPSのポリシーやシグネチャに反映して対策したことがあった。PUAとは、「必ずしもウイルスとはいえないが、参照したURLを外部に送信するなど、ユーザーにとって望ましくない動きをするアプリケーション」の総称だ。

　同様に、脅威分析基盤から得られたレピュテーション情報をISPとしての通信サービスそのものに活用し、悪意あるホストとの通信をDNSレベルで遮断するといった対策も検討しているという。

　3月からは、SOCを拠点にセキュリティ監視サービスを強化し、「IIJ C-SOCサービス」を開始している。IIJが運用するセキュリティ機器のログに加え、サーバやエンドポイントなどから得られる情報を基に顧客独自のSIEM（Security Information and Event Management）基盤を構築し、双方をIIJのアナリストが情報分析基盤と付き合わせながら分析する。何らかのセキュリティインシデントを発見したら、通知だけでなく設定変更を行ったり、対策案を提示し、サイバーキルチェーンを断ち切るサービスだ。これも「IIJ独自のインテリジェンスを活用することが特徴」と齋藤氏は述べている。