四つの機能を備える「SIEMエンジン」

　前回、「セキュリティ・オペレーション・センター（SOC）」の例として、NTTコミュニケーションズの「NTT Com セキュリティオペレーションセンタ（NTT Com SOC）」を紹介した。今回は、NTT Com SOCの詳細とそのほかのベンダーのSOC、SOC選びのポイントについて述べたい。

　セキュリティ脅威には大きく分けて「既知の脅威」と「未知の脅威」の二つがあること。そして、NTT Com SOCがセキュリティ運用基盤「セキュリティ情報・イベント管理エンジン（SIEMエンジン）」とセキュリティエンジニアによる分析の両方を合わせてセキュリティ脅威に対応しているのは前回説明した通りである。ここでは、SIEMエンジンが備える技術について解説する。

長期間にわたるログ分析で“潜伏するタイプの攻撃”を発見

　SIEMエンジンは「プロファイリングエンジン」、「リアルタイムマルウェア検知エンジン」、「相関通信時系列分析エンジン」、「ブラックリスト共起分析エンジン」という4つの機能を備えている。

　「プロファイリングエンジン」では、アプリケーションファイアウォールから得られたネットワークからアプリケーションまでのフルレイヤーの通信状況を分析し、通常とは異なるデバイスの挙動を見つけ出す「アプリケーションプロファイリングエンジン」と、検知したイベントやURLアクセスログなどのネットワークの挙動から不正な通信を発見する「ネットワークプロファイリングエンジン」の2つの分析を実施する。

　「リアルタイムマルウェア検知エンジン」では、不審（灰色）なファイルを発見した際にPCのローカル環境を再現し、挙動分析とファイルの実行時に発生する通信内容の解析を複合的に行うことで、未知のマルウェア（悪意のあるソフトウェア）の正確な検知を行う。

　「相関通信時系列分析エンジン」では、セキュリティ機器のログやイベントを攻撃の時系列で分析することで、監視対象における感染端末や情報漏えいに関わる不正通信、悪性サイトの候補を抽出する。また、長期間にわたるログを分析することで、市販のセキュリティ対策ツールでは発見が難しい“潜伏するタイプの攻撃”を発見することもできる。
　
　「ブラックリスト共起分析エンジン」では、一般的なブラックリストとトラフィックログ（DNSクエリやHTTPアクセスなど）を分析し、ブラックリストに掲載されている悪性サイトと共起性（共通性）が高いサイトを新規の悪性サイトとして抽出する。これはマルウェアへの感染後に複数のサイトに対する共起的なアクセスが発生するという特徴に着目した技術だ。

SIEMエンジンの概要
（出典：NTTコミュニケーションズ 2013年2月7日ニュースリリース）

通信事業者ならではのE2Eサービス

　NTT Com SOCの特長の1つとして、End to End（E2E）のサービスであることが挙げられる。ここでいうE2Eとは、NTTコミュニケーションズのネットワークから企業ユーザーのネットワークまでのことを指す。つまり、「SOCはセキュリティのソリューションだから、ネットワークまでは面倒見ない」というのではなく、ネットワークも含めてトータルにサポートするということ。通信事業者であるNTTコミュニケーションズだから提供できるサービスの1つといえよう。… 続きを読む