「統合」「AI」「自動化」で
進化次世代SOCに向けたSCSKの挑戦

SCSKは、顧客企業のデジタル戦略を支援するためにBPO（Business Process Outsourcing）やITマネジメント、ITインフラ構築、システム開発などのサービスを提供している。これらのサービスは、場合によって顧客の重要データを預かったり、重要なシステムへのアクセス権を持ったりすることがある。そのため同社にとってセキュリティ強化は重要な経営課題。サイバー攻撃の動向やシステム環境の変化を見極めながら、常に最適なセキュリティの実現を心がけてきた。

その同社が、セキュリティの大きな見直しに取り組んだ。背景にあるのは働き方の変化やサイバー攻撃の悪質化である。

「在宅勤務やリモートワークが当たり前となり、その新しい働き方を支えるためにクラウドサービスの導入が加速するなど、システム環境も変化しています。一方、様々な被害事例が報告されているように、攻撃者は働き方やシステム環境の変化につけ込み、新しい攻撃をしかけてくるようになっています。このような状況に対応するには、従来の境界型セキュリティには限界がある。ゼロトラストの考え方に基づくセキュリティに移行しなければならない。そう考えてEDR（Endpoint Detection and Response）やSASE（Secure Access Service Edge）など、段階的に新しいセキュリティ対策を追加してきました。ただ、追加した対策の1つひとつを見ればセキュリティは確実に強化されているのですが、新しい課題が顕在化していました」とSCSKの加曽利 浩司氏は話す。

課題となっていたのが、様々なシステムのログを収集し、セキュリティ監視や分析の基盤となるSIEM（Security Information and Event Management）だ。

まず、年々、運用負荷が高まっていた。一般的にSIEMは、システム構成やログフォーマットの変更、新たな脅威の登場などに対応したり、誤検知を削減するために調整を行ったりする検知ルールを定期的にメンテナンスしなければならない。システム環境やセキュリティ対策が急速に変化する中、このようなメンテナンスを継続的して“鮮度”の高いセキュリティ監視を維持することは非常に負担が大きい。

また、ログの収集や分析に関する課題もあった。新しいセキュリティ対策を複数追加した結果、SIEMに取り込むログの種類や量が急増し、時間がかかるようになっていた。加えて、SIEMとベンダーが異なることから、うまく取り込めていないログもあった。特に重要な対策であるEDRのログを取り込めないことは致命的だった。

「限られたリソースの中、SIEMとEDRの2つにSOCを分けなければなりませんでした。加えて、あらゆるシステムのログを取り込んで横断的に分析し、攻撃の兆候や影響範囲を把握することがSIEMの目的ですが、エンドポイントで起こっていることと、ネットワーク上で起こっていることを結びつけ相関分析したくても簡単には行えず、分析精度にも不安がありました」と同社の高橋 正成氏は言う。

このような状況は、当然、インシデントレスポンスの質にも影響する。「運用負荷の増大などによってSOCの監視や分析の精度が低下するようなことがあれば、当然、インシデントレスポンスに影響します。万が一の際にCSIRT（Computer Security Incident Response Team）が求められる力を発揮するためにもSIEMの課題解決は必須でした」と同社の石川 光春氏は話す。

課題を解決するために同社はSIEMの刷新を決断。「目指したのは、セキュリティ運用の高度化と効率化に貢献できるシステムの導入です」と加曽利氏。具体的には、以下の要件を求めた。

まず高度化のために求めたのが、単にログを収集するだけでなく、システムが自動的に相関分析・予測分析などを行ってマルウェア感染や予兆を検知してくれることである。同時に感染端末をネットワークから隔離するといった対応も自動化し、分析や対応の精度とスピードを高めたいと考えた。

また、効率化のためには「統合」に期待した。既存のSIEMは、取り込めないログが生まれており、それが課題の一因となっていたからだ。「働き方の変化によってクラウドサービスの導入が増えています。EDRなどのオンプレミスのシステムだけでなくクラウドサービスのログも統合できることが理想でした」と加曽利氏は述べる。

このような要件のもと、同社は複数の製品を比較。最終的にパロアルトネットワークスのCortex XSIAMの採用を決めた。

Cortex XSIAMは、ただのSIEMではない。SIEMに加えてXDR（Extended Detection and Response）、SOAR（Security Orchestration, Automation and Response）、ASM（Attack Surface Management）などを1つに統合したSOC（Security Operations Center）向けの「AI駆動型セキュリティ運用プラットフォーム」である。

具体的には、検知機能と機械学習モデルを備えたAIが膨大なログを分析し、アラートを検出。その中からインシデントを特定し、可能なものは自動で解決すると同時に人手で対応すべきものは、「LOW」「MIDDLE」「HIGH」「CRITICAL」の4つにレベルに分けて示し、対応を支援する。「これまで、高度な技術を持つセキュリティアナリストが行ってきた分析やインシデントの特定、さらには対応までをCortex XSIAMが行ってくれます」と高橋氏は言う。

ログの統合についてもCortex XSIAMは、主要なセキュリティ製品や多様なシステムと接続するためのコネクターやAPIを豊富に搭載している上、異なるベンダーの製品であっても分析のためのフォーマットにログを自動的に整え、スムーズにログを取り込む。「あらゆるログを集約し、1つの画面でセキュリティ運用を行える。分散していたSOCを1つに統合できます」と高橋氏は続ける。

このCortex XSIAMの特徴を指して石川氏は「夢のようだ」と表現する。

石川氏は、2000年頃、まだSIEMという言葉が生まれる前からセキュリティのためにログを収集するシステムのビジネスに深く関わってきた経験を持つ。「かつてはサーバーラックをどれだけ並べても処理しきれなかった何億という膨大なログもキャパシティを気にすることなく処理できる。複数のソリューションを組み合わせる際に生じていたデータ形式の問題もプラットフォーム化するというアイデアでクリア。最新のAIを駆使してログ分析とアラートの検出、インシデントの特定をリアルタイムに行い、対応も自動的に行う。長年、私たちが求めていたシステムをCortex XSIAMが具現化してくれました」（石川氏）。

同社は、セキュリティの専門家であり、同社のSOCを担っているグループ会社のSCSKセキュリティと共にCortex XSIAMの導入プロジェクトを進めた。同社が利用する様々なシステムやセキュリティ対策、約2万台のエンドポイントから、毎日1億3000万件以上のログを収集し、AIがリアルタイムに分析する。この新しいセキュリティ運用によって、同社は様々な高度化と効率化を期待している。

SOCの統合でチームの一体感が向上
SIEMとEDRの2つのシステムで分かれていたSOCは統合され、1つのチームになった。「以前は、双方の業務を『他人事』と見てしまう雰囲気がありました。現在は、1つのチームとして同じ画面と情報を見ながらセキュリティ運用を行っているので、メンバー間のコミュニケーションが取りやすく一体感が生まれています。意見交換や議論がさらに活性になり、個人スキルやチーム力の底上げにつながることを期待しています」と加曽利氏は言う。

メンバーの役割の最適化が可能に
Cortex XSIAMの画面は、ログ収集の対象システム、検出したアラート数、特定したインシデント数、すぐに対応すべきインシデントなどを一目で把握できるようにデザインされている。「さらに項目を選択すれば、簡単にドリルダウンして、より詳しい情報を確認できます。しかも、何が起こっているのかをログで示されるのではなく、“言葉”で伝えてくれる。これなら、スキル習得中の若いメンバーでも対応でき、高いスキルを持つメンバーを次のセキュリティ対策の検討や企画など、より重要な業務に割り振ることができます」と高橋氏は述べる。

セキュリティ運用を段階的に自動化
同社は、Cortex XSIAMをベースにしたセキュリティ運用に一気に移行するのではなく、既存のSIEMとEDRも並行運用させながら段階的に移行している。既存業務のどこに工数がかかっているのかを正確に特定し、Cortex XSIAMでどのように効率化していくかを適切に検討するためだ。 「すでにいくつかの自動化シナリオの検証を終えています。アクセス権限の管理といったプロセスだけでなく、アラート発生時の従業員への連絡や回答フォームへの誘導など、コミュニケーションの自動化も検討しています」と高橋氏。Cortex XSIAMだけでなく生成AIも活用して報告書作成の自動化を図るなど、できるだけ多くの業務を自動化したいと考えている。

CSIRT対応スピードが大幅に向上
Cortex XSIAM によるSOCの高度化と効率化は、CSIRTのインシデントレスポンスにも好影響を与えている。 以前のSIEMでは、大量に発生しているアラートの中のインシデントを探すために、CSIRTの専門家たちが時間をかけてログを分析していた。「これでは対応する必要のない事象に手を取られ、急ぎ対応しなければならないインシデントに気付くのが遅れてしまうリスクがあります」（石川氏）。一方、現在はCortex XSIAMが自動で分析、アラート検出、インシデント特定を行い、CSIRTが対応すべき重大なインシデントを明確に示す。「対応すべきインシデントに集中できるため、CSIRTの初動が劇的に早くなります」と石川氏は続ける。

サイバー戦争の最前線で得た知見を取り入れる
[同社はCortex XSIAMやPrisma Accessなどのソリューションだけでなく、パロアルトネットワークスの脅威インテリジェンス専門チーム「Unit42」によるインシデントレスポンスサービスにも期待している。|]
「私たちも日々、様々な情報を収集したり、訓練・演習を繰り返してスキルを磨いたりしてインシデントへの対応力を鍛えていますが、どうしても国内の情報や活動に偏ってしまいがちです。そこでUnit42がグローバルなサイバー戦争の中で得ている高度な知見を私たちのインシデントレスポンスに取り入れられないか、まずSCSKセキュリティがサービスを契約して利用し、評価や検討を行っています」と石川氏。インシデントレスポンスサービスの利用が拡大し、SCSKグループとしてより多くの知見を蓄積することになれば、それらは同社の顧客企業のセキュリティ強化にも還元されるはずだ。

現在、同社はパロアルトネットワークスのSASEである「Prisma Access」の導入を進めている。もちろんPrisma AccessのログもCortex XSIAMに集約され、セキュリティ運用の統合、ひいては高度化、効率化がさらに進むことになる。「現在はサイバー攻撃への対応に主眼を置いていますが、内部不正対策の強化も検討しています。また、Cortex XSIAMのような高度なシステムを導入したということを全社に向けて発信し、セキュリティ意識が向上することにも期待しています」と加曽利氏は話す。

同社は、2030年度までの経営目標「グランドデザイン2030」の中でDX事業を拡大し、売上高を1兆円規模に成長させると掲げている。セキュリティは、それを支える重要な経営基盤。パロアルトネットワークスのソリューションとサービスを積極的に活用してゼロトラスト型セキュリティを実現して、柔軟な働き方と安全性を両立させ、ビジネスの成長を加速させる構えだ。