 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
1日4億件のアラートをアナリストが分析する場所~SymantecのSOCに潜入 |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
||||||||||||||||||||||
|
米国バージニア州アレクサンドリアのSOC(Symantec Security Operation Center)で行なわれた報道関係者向けの説明会では、同所内の見学が可能だった。今回は同所についてレポートする。
● 光ファイバとメタルケーブルを併用し、下り0.5Gbpsの帯域幅を確保 SOCは、米Symantecのセキュリティオペレーションセンターとして、ワシントンD.C.から車で20~30分程度の郊外に立地している。床面積は約940平方メートル、空冷能力は100トンを備え、バックアップ電源には軽油と電池による750kVAの自家発電機により、万が一地域一帯が停電しても最低4日間はフル機能での稼働が可能だ。施設内は総延長約13キロメートルのカテゴリ5Eネットワークケーブルにより、ギガビットイーサネット網が構築されており、外部とは光ファイバとメタルケーブルを併用して下り0.5Gbpsの帯域を確保し、複数冗長化構成を採用しているという。 ● アナリスト達は6週間に1回の割合で研修を義務付けられる Symantecでは、企業セキュリティシステムをアウトソーシングで管理・監視するサービス「SMSS(Symantec Managed Security Services)」を提供している。同社は、SMSSを世界各国で24時間365日提供するために世界6カ所にSOCを設立しており、バージニア州アレキサンドリアのSOCが最大規模だ。アレクサンドリアのSOCには、各シフトごとにセキュリティアナリスト15名、カスタマーエンジニア15名、コールセンタースタッフ5名のほか、サポート要員や管理職が同時に勤務可能な体制となっている。アナリスト達は、SOC赴任前に3カ月の研修を義務付けられているほか、6週間に1回の割合で機器の知識やテクニックについての研修も受けなければならない。 そのほかの5都市は、米国テキサス州サンアントニオ、英国ロンドン郊外、独ベルリン、日本の東京、オーストラリアのシドニー。これらの都市を米国、欧州、アジア(シドニー含む)の3拠点に分類し、おおよそ8時間交代の24時間態勢で監視・管理業務を行なっているのだという。
● 地球儀には攻撃元国トップ10が色分けされて表示 中央に備えられている100インチのディスプレイには、中央に地球儀を模した映像、左に電話システム、右にユーザーのセキュリティ機器の状態が表示されており、リアルタイムで各状況が表示される仕組みだ。中央の地球儀は通常とは逆方向(北極からみて時計回り)に回転しており、地図上には攻撃元国トップ点が色分けされて表示されている。攻撃元1位は常に米国となっており、2位以下は変動するものの、カナダ、英国、独、仏、日本、韓国、中国がほぼ固定だという。 右のディスプレイに表示されているセキュリティ機器の状態は、「安定稼働」「ダウン」「不安定(再起動を繰り返すなど)」の3種類の状態で色分けされており、それぞれの状況に応じて、アナリストが作業を行なう。 左の電話システムには、クライアントから寄せられた電話の状態や、その時点で電話に出ることのできるサポート要員の状態などが表示されている。クライアントにはRSAのトークンが付与されており、そこに表示されているワンタイムパスワードを入力することにより、電話からでもユーザーの識別が可能になっているのだという。
● 現実世界とサイバー世界は常に関連性を持っている 特徴的なのは正面横上部に備え付けられたディスプレイで、常にCNNなどのニュース番組が流れている。これは、現実世界で起きている出来事が少なからず、サイバー世界とリンクしているからだという。Vincent氏によると、「同時多発テロ発生時には、各所のサーバー挙動に変化が見られた」のだという。取材当日にSOCに勤務していたManaged Security ServicesのSenior Security AnalystであるScott Slater氏は25歳。セキュリティベンダーで3年間エンジニアとして勤務したのちSymantecに転職し、SOCには6カ月勤務しているという。 Slater氏はクラッキング(ハッキング)を行なえるほどの知識と技術を持つ。最近の状況については、「2003年の9月以降Blasterを常時見かける。直近では、3月13日の日曜日に見かけた」と語り、Blasterが未だに蔓延していることを示唆した。なお、Slater氏が語ったSOC勤務で良い点と辛い点は、良い点がセキュリティの最先端に触れられることで、辛い点はシフト勤務で昼夜が逆転することだという。 今回、Symantec社最大のセキュリティオペレーションセンターであるSOCを紹介した。日本では、まだこのようなセキュリティ管理・監視をアウトソースするサービスは定着していない感もあるが、毎日発生する膨大なセキュリティアラートを厳密に分析するには専門的な知識が必須であり、今後日本でもニーズが高まっていくことが予想される。
関連情報 ■URL 米Symantec Corporation http://www.symantec.com/ ■関連記事 ・ 米SymantecのVincent氏、セキュリティシステム監視サービス「SMSS」説明(2004/03/19)
( 大津 心 )
- ページの先頭へ-
|
