今、改めてSOCが注目される理由とは？

リーベル：ひと口にセキュリティといっても、敢えて分けるとセキュリティポリシーの策定や内部統制などの「言葉のセキュリティ」とも言える分野や、脆弱性診断やフォレンジックなどの「技術のセキュリティ」、さらに予防や検知といった観点でも様々なセキュリティの分野があります。また、SOCについても、SOCを展開しているセキュリティベンダーはすでにあり、以前私も携わっていましたが、プライベートSOCや自社SOCももてはやされています。まずはなぜ今、SOCなのか、佐藤さんのお考えをお話しいただけますか？

佐藤氏：わかりました。SOC自体は2000年くらいからすでにあるものですが、最近になって確かにプライベートSOCをつくる企業や、SOC事業に乗り出すIT・コンサルティング企業が増えています。その理由は大きく3つあります。
まず、従来型のSOCは、いわゆる「境界防御」を中心としたもので、予防を重視し、そのついでに監視も行いましょう、という位置づけでした。

リーベル：そもそも侵入されないことに注力するということですね。

佐藤氏：そうです。ところが、昨今のいろんな事件を見ると、どんなに多重防御しても、結局、中に侵入されて、そこからデータが流出する、ということが普通に起こっています。つまり、境界防御のセキュリティ製品を入れても、侵入を防ぎきれない、ということなんです。

リーベル：「侵入されるのは前提」として考えなければいけない、ということですね。

佐藤氏：しかも、主な侵入の経路は、メール、Webサイト、USBの３つですが、ではそれら全てを使うことを禁止している企業があるかというとほとんどありません。USBは禁止している企業も多いし、メールやWebについても仮想化して分離している企業もありますが、それも完璧ではありません。そうなるとどうしても侵入は起きる。

リーベル：防御に注力しすぎるとお金も工数も莫大にかかり、可用性もどんどん低くなるのに、結局は守りきれない、というのは現実的に起こり得る問題です。私も脆弱性診断に関わっていましたが、診断１つをとっても、システムリリース前に問題ないという診断結果が出ても、他の方法・ルートから侵入される可能性はあります。もちろん診断は大事ですが、事前の防御だけでは限界があります。

佐藤氏：ええ。だから、侵入されることを前提として、「発見」に重点を置いたSOCが必要となるわけです。それが今、改めてSOCが注目されている理由の1つめです。
2つめに、CSIRT（シーサート：注１）への対応が挙げられます。セキュリティ事故が起きた時に対応できるよう企業内にCSIRTを設置しましょう、という流れが強まっていて、デロイトでもたくさんコンサルティングを行っています。各社とも、組織やルールをつくったり、何か起きた時のガイドラインを定めたりはしているのですが、それが「名ばかりCSIRT」になりがちなんです。

リーベル：そうですね、組織としてはあっても、メンバーは各方面から担当として集められただけで、何か起きた時にセキュリティの専門家として適切に対応できるのかというと、正直疑問符のつくCISRTは多いと思います。

佐藤氏：なぜそうなるかというと、自社のセキュリティに何が起きているかを、本当の意味できちんと見ていないからなんです。
以前は、SOCとCSIRTとは分けて考えるべき、という考え方が主流でした。しかし、SOCはCSIRTの入り口になる、いわば「目」の部分なんです。ところが多くの企業が、その大事な「目」の部分を、インフラやアプリケーションの構築・運用を担当している大手ベンダーに、そのついでのように任せている状態です。で、「自社のSOCはあの大手ベンダーがやっているから大丈夫」となってしまっているわけですよ。

リーベル：なるほど。肝心の目の部分を外に任せてしまっている、任せざるを得ない場合もあると思いますがそれが現状ということですね。

佐藤氏：SOCの重要性を理解していないわけではないんです。ただ、セキュリティの予算は限られていますし、運用とかアプリ開発といった大きなアウトソースの一部でしかない。だからある意味、片手間にやってきたというか。
ただ、ここ7～5年ほどの間に、攻撃者側のテクニックが大きく上がり、それでは防げなくなっています。企業側も、CSIRTはつくったものの、実は監視する機能が貧弱すぎる、ということがわかり始めてきたんですね。だから、SOCの機能を強化したい、という企業が増えているんです。これもSOCが注目されている大きな理由です。

リーベル：各部署でセキュリティ担当者を決め、インシデントが起きたらCSIRTメンバーとして集まるんですけど、集まっているだけで機能していないのではないかと思える場面は実際に私も見てきました。その理由としては、CSIRTとSOCが分離されているから、ということですね。CSIRT担当者の中には、SOCが何をやっているかさえ知らない人がいたりしますし。

佐藤氏：そうなんですよ。最後にもう１つ、これは2つめの話にも関連するのですが、SOCから何らかの通知が来ても、その内容を理解できる人が社内に少ない、という問題もあります。CSIRTの担当をしているといっても専門家ではない人がほとんどの中、暗号のような通知が来て、「こんな攻撃が来ているので何々することを推奨します」と書いてあっても、まずこの文面がわからない。

リーベル：よくある話ですよね。そもそも「何か通知が来たけどこれは何？」というレベルの話もあるでしょうし。

佐藤氏：はい。CSIRTをつくって、監視を強化しようとしたけど、実際はSOCから通知が来た後、何をどうしていいいかわからない、という企業も多いわけですよ。
そのあたりをもう少し手厚くやってくれる事業者が必要。それが今回、我々がCICを立ち上げた理由でもあります。高度な発見だけでなく、インシデントが起きた際に、徹底的にお客様目線に立って対応する、というのがCICの大きなコンセプトです。

リーベル：なるほど。単にSOCをつくるだけでなく、真に意味のある対応、つまり、本当の問題を明らかにし、本当に問題が解決するまできっちり対応する、というわけですね。

佐藤氏：おっしゃるとおりです。

（注１）CSIRT：コンピュータやネットワーク上でセキュリティ上の問題が起きていないか監視するとともに、万が一問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称）

経験者がいないからSOC事業に参入できない、とは言っていられなくなった

リーベル：なぜ今、SOCなのかについては非常によくわかりました。とはいえ、転職者視点で見たとき、特にセキュリティ業界にいた方となると、日本でもすでにSOCを展開しているセキュリティベンダーはあるじゃないか、自社SOCというワードがもてはやされるなかで、転職先としてCICを選ぶ意味は何なのか、といった点は都度質問をされるポイントです。デロイトの中でも、スペインやカナダなど、先行してCICを展開していますが、その点も踏まえて、なぜ今のタイミングで日本でこの事業に参入しようとしたのかを、もう少し詳しくお話し願えますか？

佐藤氏：はい。実は海外のデロイトでは7年ほど前からSOC事業をやっていて、成長領域のコア中のコアと言われているんです。一方、日本では、セキュリティコンサルタントはたくさんいるんですが、SOCの領域はニッチすぎて、経験者がいなかったんですね。セキュリティコンサルティングをやっていればSOCをつくれる、というわけではないですから。ただ、さすがにそうも言っていられないだろうと。だから我々のような経験者を集めてCICを立ち上げることになったわけです。

リーベル：グローバルでは7年も前から展開されていたのですね。

佐藤氏：また、デロイトが自分たちでSOC事業をやっていないと、SIEMを導入するとか、プライベートSOCをつくるといったセキュリティ案件を担当した際に、「デロイトはコンサルティングはやってくれるけど、結局、自分たちではやってないでしょ？」と言われてしまうわけですよ。海外のコンサルタントやノウハウを持った人を連れてきたりするんですが、それって借りてきたナレッジで、活きたナレッジじゃないでしょ？　と。そういうところで本当にバリューを発揮できるのか、というと、やはり壁があったんです。

リーベル：言葉を選ばずに言うと「口だけなんじゃないか」、と言われてしまう現状があったと。

佐藤氏：もう１つ、ビジネス体系的な話もあります。コンサルティングビジネスって、１つ大きな案件をやったとしても、通常それで終わりで、そこから先はなくなってしまうんです。その点、SOCがあれば、24時間365日お客様のセキュリティを監視し、月次報告会をやり、課題を共有し、それに対するご提案もできる。セキュリティのモニタリングを切り口にして、お客様のもっと幅広い悩みをサポートできる機会が増えるわけで、そういう点もこの領域に投資してやっていこうという理由の1つです。

リーベル：コンサルティングとSOCを結び付け、コンサルからだけではなくSOCからも提案をし、お客様を支えることができるということですね。そこに過去SOCを経験されて来た佐藤さんのような経験者が集まり、満を持して立ち上げることに至った、ということですね。非常によくわかりました。

CICの強みはグローバルな知見と高度なインテリジェンスの活用

リーベル：続いて伺いますが、先行してSOC事業を展開しているセキュリティベンダーなどと比較して、CICの優位性、特長はどこにありますか？

佐藤氏：まずはデロイトグローバルの知見を存分に活用できる点ですね。デロイトは、グローバルで最大級のプロフェッショナルファームで、各国で一流のお客様に向けてビジネスを行っておりまして、セキュリティの分野においても幅広い業種で最先端の事例を数多く手掛けています。他のSOCではグローバルにビジネスを展開しているところは少なく、知見は日本国内のみに留まりますから、ここはやはり大きな優勢性があると思いますね。
私自身、一昨年入社して以来、デロイトの世界各国のCICを見て回ったんです。最も大きな拠点はスペイン。カナダも、顧客数こそ少ないものの、金融・ドラッグストア事業なども展開する大手小売業の数万IPにのぼるデバイスを監視していたりと、かなり高度な知見を蓄えています。日本のCICは、彼らのインフラデザインを参考にして立ち上げています。

リーベル：それは大きな強みですね。確かに日本で先行してSOCを立ち上げているところはありますが、グローバルのインテリジェンスがあるところは限られています。また、グループ内で既にグローバルで実績を残しているCICがあり、それらを参考に立ち上げたので、日本のCICはいいとこ取りができたわけですね。さらに、これまでにSOC事業で苦労されてきた佐藤さんのような方が立ち上げたのであれば、グローバル知見を生かしつつ、日本に最適化されたSOCを作れますね。

佐藤氏：そうなんです。日本に適した、というのがポイントで、実はデロイトはグローバル企業であると同時に、自由度や柔軟性も高いんですよ。通常、外資系企業というと、あらゆることを北米などにある本社で決めていて、サービスをローカル向けにカスタマイズするのが難しかったりしますよね。このベンダーとお付き合いしたい、という時も、本社がNoというとできないですし。デロイトの場合は各メンバーファームが並列関係となっているので、グローバルのプロジェクトに参加するかしないかも含めて、ほとんどのことを各ファームで決められるんです。

リーベル：外資系企業の多くは本国の決定に従わざるを得ない、となりがちですが、会社の事業運営そのものも、外資と内資のいいとこ取りができるんですね。

佐藤氏：また、インテリジェンスの活用もCICの大きな特長です。従来のSOCって、「インターネットからあなたの会社にこういう攻撃が来ました、それはこういう脆弱性を突いてきていて高危険度なので、対処するにはこのパッチを適用してください」と知らせるもので、それってもう10年前から変わっていないんですよ。

リーベル：結局対策が「最新版にして」となるのは、どこかでも聞いたことのあるような話です。SOCや私の携わっていた診断でも、セキュリティありきで細かい分析をせずに「バージョンを上げて」というのは簡単ですが、実際は運用に乗っているシステムのバージョンを上げるのは簡単なことじゃない。再起動がかかるだけで大きな影響が出るシステムもあります。他に対策はないのか、本当にそれが最適な対策なのか、回避策はないのか、というのはよく聞かれるものでしたし、お客様やシステムに応じて対策は変わるものですよね。もちろんバージョンアップはいずれするものだというそもそもの要件を見直さなければならない点もあるでしょうが。

サイバー インテリジェンス センター（CIC）の様子

佐藤氏：しかも昔は、攻撃者は、個人でやっている愉快犯みたいなものが多かったのですが、今は組織犯罪的な攻撃が多い。彼らは明確にビジネスとして攻撃を仕掛けてきているわけです。そういう中では、「どういう攻撃者が自分を攻撃してきているのか」を知ることが非常に大事なんです。例えば、金融系のお客様から情報を抜き取ろうする攻撃があったとします。この際、同じ攻撃が流通系のお客様にあったとしてもそこまで致命的なものではないかもしれない。でもそれは金融系のお客様にとっては、より危険な攻撃なわけです。そういうことを深掘りしていくのがインテリジェンス。我々はそれを使って、そのお客様を特定して狙っている「キャンペーン」と呼ばれるような攻撃を見つけたり、お客様にとってより危険度の高い攻撃を分析したりしています。従来のSOCにはそういう視点はありませんでした。

リーベル：確かにそうですね。標的型攻撃は防げないというか、何社もお客様を掛け持ちしているSOCだと、ただ自動的に通知をしているだけでその会社が何をやっている会社かさえも知らないケースも多いですね。もちろん工数的な問題や契約の問題もありますし、仕方ないケースも多いとは思いますが。

佐藤氏：そうなんです。通知先が食品工場か、鉄板を造っている会社か、知財を扱っている研究所か、ということもわかっていない。それで正しい分析ができるのか非常に疑問です。
もう1つ言うと、先ほども少し触れましたが、今までのSOCって、「こういう攻撃が来ています、以上」と通知しておしまい、あとはお客様の作業、というケースがほとんどだったんです。でも実際は、パソコンに被害が及んでいて、お客様はどのパソコンが危険なのか特定するまでにものすごい時間と労力をかけていたりする。
要するに、インターネットの出入り口である境界デバイスを監視するだけでは不十分なんです。エンドポイントといわれるパソコンの特定までしてあげないとお客様は楽にならない。我々のサービスでは、お客様からあらゆるログを預かって、そこまでしっかり対応します。

リーベル：従来の監視はもちろん、本当に攻撃されているのはどこなのか、つまり、侵入の入口からその通り道、最後のエンドポイントまで見て、本当の問題個所はどこなのかまで突き止める、というのは今までのSOCではなかなかできていなかったことだと思います。

佐藤氏：ええ。従来のSOCだと、境界デバイスだけ見ておしまい、そういうお客様が数百社ある、みたいなパターンが多いと思うんですが、当社はお客様の数を増やすことには重きを置いていません。その代わり、お客様のシステムの中の仕組みをしっかり把握して、アンチウイルスやActive Directory、Proxy、場合によってはメールのログまで全部もらって、しっかりした分析をできる環境をつくった上で通知を行う。そうすればお客様は、インシデントが起きた場合、次に何をするかが明確にわかるわけです。

リーベル：標的型攻撃を受けたときも誰が標的かわかる。それは真のユーザー視点ですね。攻撃されているのはここ、とはっきり見つけてあげる。本当にお客様が知りたいのは「攻撃されているのはどこで、どうしたら良いのか」ということですからね。

佐藤氏：そのとおりです。ゆくゆくは、そこからインテリジェンスに結びつけて、「そういうことを世界中でやっているのは誰か」「それをやっている人はどこにいるのか」を特定するところまでやりたいですね。

リーベル：他のSOCとの差についてよくわかりました。では「自社SOC」との差に関してはいかがですか？

佐藤氏：まず、情報が流れてこないという問題がありますよね。自社だけでクローズしていると、最新の潮流をキャッチアップするのが難しい。限界がありますよね。
もう１つ重要なのは、キャリアパスの問題です。一般事業会社でSOCという箱をつくると、その人たちをどう評価するかが難しい問題になるんですよ。マネジメントポジションにならないと上に上がれない。でも、じゃあSOCで働いている人みんながマネジャーになりたいかというと決してそうではない。むしろ、分析を極めたいという職人のような人だっているわけです。じゃあそういう人はずっと同じ給料でいいかというと、そんなわけがない。自社SOCだと、こうした悩みを抱えてしまいかねません。

リーベル：自社SOCで先程の「グローバルのインテリジェンス」を持っているところ自体が稀ですし、さらにマネジャー、マネジメントポジションにならないと評価されない、ではマネジャーだけいればいいのか。本当に技術を極めたい方だっていないと質の良いサービスは提供できない。でも職人は評価がされにくい。確かにそうだと思います。ではどういう人事制度にしているか、などについてはのちほど詳しく伺っていければと思います。