「Seceon OTM」で実現するSOC運用の自動化――インフォメーション・ディベロプメント

ホーム
週刊BCN
Special Issue
「Seceon OTM」で実現するSOC運用の自動化――インフォメーション・ディベロプメント

Special Issue

「Seceon OTM」で実現するSOC運用の自動化――インフォメーション・ディベロプメント

2018/10/04 09:00

週刊BCN 2018年10月01日vol.1745掲載

　インフォメーション・ディベロプメントが販売するセキュリティソリューション「Seceon OTM」が、2017年4月の販売開始以降、大手通信会社やSIerなどで導入実績を積み重ねている。AIや機械学習の技術を活用して脅威情報を分析し、結果を見やすく可視化することが特徴で、SOC（Security Operation Center）運用の自動化を支援する。同社ではトライアルプログラムなどパートナー支援策を提供し、引き続きSeceon OTMの販売拡大を目指している。

最新のAI技術が、セキュリティ分析・対応をサポートする

AIを使ってSOC運用を自動化ダッシュボードに分かりやすく表示

　標的型攻撃やランサムウェアなどサイバー脅威が多様化し、被害が深刻化する今、24時間365日体制でセキュリティイベントの監視・分析を行うSOCの必要性が高まっている。インフォメーション・ディベロプメントの関原弘樹フェローによると、特に17年11月に改訂された『サイバーセキュリティ経営ガイドライン』（経済産業省、情報処理推進機構）でサイバー攻撃の検知や監視、分析、対応ができる体制を構築することの重要性が説かれたことで、「SOCの活用によりインシデントを早期に発見し、サイバー攻撃の被害を最小限に抑える必要があるという考えは、経営層にもかなり浸透してきた」という。

　ただし、SOCを構築し運営するにはスキルを持った専任の担当者を一定数確保する必要があるため、「実際にSOCを立ち上げられる企業は多くない」（関原フェロー）というのが現状だ。であれば、専任の担当者が行う作業をAIに代行させれば良いのではないか――。このような発想から生まれたのが、昨年4月からインフォメーション・ディベロプメントが提供するSeceon OTMだ。

　Seceon OTMは、社内システムのさまざまなハードウェアが発するセキュリティ情報を収集し、最新のAI技術や機械学習とセキュリティ専門家の知見から導き出された脅威モデルを組み合わせて分析し、脅威を検知することができる。ネットワーク上を流れる情報を集約し利用するアーキテクチャーを持つため、それぞれの機器にエージェントを組み込む必要はなく、ミラーポートの設定や配線も不要だ。

　具体的には、制御・収集エンジン（CCE）がスイッチやルーターなどのネットワーク機器、サーバー、エンドポイントから情報をリアルタイムに収集。分析・ポリシーエンジン（APE）が、機械学習を活用して情報の分析を行う。APEは、企業ネットワークのベースライン（基準値）だけでなく、外部の脅威情報も参考にしながら、フローデータやログに現れる振る舞いを常時監視。危険と判断される事象を検出すると、ダッシュボードにアラートとして表示する。

　ダッシュボード上では、検出したアラートを危険度に応じて「Critical」「Major」「Minor」の3段階に分類し、表示する。Criticalは外部への情報流出がすでに始まっている状態、Majorは情報流出の可能性が高い状態、Minorは異常事態ではあるものの、今すぐに対応する必要はないことを示す。「それぞれのアラートには機器のIPアドレスが表示され、どのエンドポイントに対応が必要なのかが簡単に分かる」と関原フェロー。対応策も併せてシンプルに分かりやすく表示されることから、「日常のシステム運用管理に携わっている人であれば、セキュリティに詳しくなくても被害を最小限にするための一次対応ができるようになる」とアピールする。

導入から稼働まで1週間トライアルプログラムも提供

　Seceon OTMは、15年に設立された米国のベンチャー企業のSeceonが開発した。インフォメーション・ディベロプメントが国内の独占販売権を有し、販売パートナーやインテグレーションパートナーと連携して企業・団体向けに提供している。また、Managed Security Service Provider（MSSP）パートナーは自社のクラウドやサーバーに組み込んだSeceon OTMをマルチテナント方式でエンドユーザーに提供することもできる。

　Seceon OTMは複数のDockerコンテナーで構成され、ベースとなるLinuxのインストールイメージで提供される。利用者は自社の環境に合わせ、ベンダーまたは自社で物理サーバーやVM（仮想マシン）、クラウドにインストールし、利用できる。多くの場合、導入から本稼働までに掛かる期間は1週間ほど。クライアントにエージェントを組み込んだりネットワーク構成を変更したりする必要がなく、ベースラインの設定もAIが自動的に行ってくれる。外部脅威情報に基づくチェックは導入直後から行われるのに加え、明らかに脅威と判断できる振る舞いがあった場合などは機械学習を経たベースラインの設定を待つことなく脅威として検出される。そのため、本稼働前でも一定の検知能力を発揮できる。

　インフォメーション・ディベロプメントでは、Seceon OTMを取り扱うパートナーに対する手厚い支援も用意している。例えば、検討段階での価値検証（PoV）を行いたいパートナーに対しては、1カ月のトライアルプログラムを提供。また、ほぼ毎月東京でハンズオン型のトレーニングコースを開催しているほか、今年10月にはオンラインセミナーも開始する。セキュリティ関連のイベントにも積極的に出展し、ITベンダーなどとの接点強化に努めている。

　「Seceon OTMの使いやすさとその実力は、一度使ってみるだけでお分かりいただけるだろう。ぜひ製品版と同機能の試用プログラムを使ってPoVを実施し、他のセキュリティソリューションとの違いを実感してほしい。場合によっては、すでに発生している脅威も発見できるかもしれない」と関原フェローは訴える。