「日本で一番良いSOCを作りたい」SOC事業部の志とあくなき挑戦
GMOサイバーセキュリティ byイエラエ(以下、GMOイエラエ)のエンジニアたちがあるテーマやトピックについて自由に語り合う「IERAE JOURNAL」。第一回目は「GMOイエラエSOC 用賀」でも注目を集めたSOCイノベーション事業部(以下、SOC事業部)のメンバーが、チームやサービスの立ち上げから今後のビジョンについて語ります。
座談会メンバー
SOCイノベーション事業部長・執行役員
阿部 慎司
大手電気通信事業者でのSOC責任者を経て、GMOイエラエにてSOCイノベーション事業を立ち上げ。日本セキュリティオペレーション事業者協議会(ISOG-J)副代表も務め、ISOG-J「セキュリティ対応組織の教科書」やITU-T国際標準勧告「X.1060」を執筆。その他、日本SOCアナリスト情報共有会(SOCYETI)主宰、IPA専門委員など、幅広く活動。CISSP。
SOCイノベーション事業部
早川 敦史
認証基盤構築・運用、SOC運用、セキュリティコンサルティング、クラウドサービスのセキュリティ責任者などを経て現職。様々な経験を基にSOC事業拡大のために日々奮闘中。日本セキュリティオペレーション事業者協議会(ISOG-J)副代表。CISSP。
SOCイノベーション事業部
熊坂 駿吾
大手電気通信事業者にてSOCインフラ構築運用に従事し、2022年から現職。 GMOイエラエでは、SOC立ち上げメンバとして活動し、SOC基盤システム開発業務を主とする。 また、SOCで得られる脅威情報の知見を活かし、手を動かして学べるセキュリティ学習コンテンツを開発中。CISSP。
SOCイノベーション事業部
中里 龍
大手外資系コンサルにてSOCの要件定義・設計構築・運用に従事し、2024年から現職。
現在はSOC業務およびSOC基盤の開発・運用業務を行なっている。
インタビュアー
サイバーセキュリティ事業本部・執行役員
寺村 亮一
博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士(工学)
「強くてニューゲーム」経験を武器にゼロ地点へ
寺村: 本日はよろしくお願いいたします。まずはSOCイノベーション事業部の成り立ちや立ち上げ当初のことを教えてください。もともとGMOイエラエはセキュリティに詳しい人たちからすると「守りより攻め」の会社のイメージを持たれていると思いますが、どういうきっかけでSOCができたのでしょうか?
阿部:前職でSOCを一通りやりきったな、と感じて、なんとなく求人サイトを眺めていたなかに、GMOイエラエのSOCメンバーの募集が目に入ったことがきっかけです。私も入社する前は、GMOイエラエにはセキュリティ診断やペネトレーションテストをはじめとした攻めのセキュリティ会社のイメージがあり「あのイエラエがSOC?」と興味を持ちました。
興味本位で登録したら、いきなり牧田さん(当社代表取締役CEO)と話す機会が設定され、「SOCについて決まっていることは何もないが、GMOイエラエはSOCをやるべきなんだ」と聞かされ、決まってないけど本気なんだな。と(笑)
前職でもセキュリティ運用サービスやSOCアナリストチームの立ち上げなど、10年以上SOCの業務をしていました。牧田さんからは好きにやっていいと一任してもらえたので、今までの経験を活かし、0から作ってみたいと思いました。イメージは「強くてニューゲーム」ですね。
寺村:クロノトリガーですね。共通の世代感があります(笑)
阿部:今までSOC事業に携わる中で、 課題や足りてない部分を感じるところがありました。10年積み上げたものに縛られて「今一番良いもの」が提供できているのか、疑問に思うこともありました。 GMOイエラエSOCでは改めてお客様を助けるために「今日本で一番良いSOC」を作ることに挑戦する気持ちで始めました。
寺村:現在(2024年3月時点)のSOCは7人のチームになっていますが、どのようにチームを作り上げたのでしょうか?
阿部:最初は私を含めて3人のチームで立ち上げました。ただ、よく誤解されるのですが、私は誰一人引き抜きや勧誘を行っていないんですよ。入社したらたまたまSOC経験者の志願者がいたんです。
寺村:それが熊坂さんですか?
熊坂:はい。そうです。私も前職はSOCの事業に携わっていたのですが、攻撃者目線の知識を入れたいと思ってGMOイエラエへの入社を検討していました。本当はSOCを続けるつもりはなかったのですが、そのタイミングで阿部さんが入社されることを知って牧田さんから「阿部さんと一緒にSOCをやらないか」と言われまして。
寺村:すごいタイミングでしたね。
MSSPごとの壁を壊す「セカンドオピニオン」 サービス
寺村:現在提供しているSOCサービスは今までのSOCサービスではできなかったことを提供していると聞きましたが、どんなサービスがありますか?
阿部:GMOイエラエのSOCサービスには様々なメニューがあるのですが、中でも特徴的なサービスが「セカンドオピニオン」というメニューです。
これはどんな製品のログであっても、他社のSOCのレポートであっても、サービス提供の範囲外だと断らずに、共有いただければトータルで確認しアナリストが見解を伝えるサービスです。
既存のSOCは、サービス提供範囲内のセキュリティ製品やそのログについてはしっかり対応できるのですが、契約上仕方がないとはいえ、サービス提供範囲外になった瞬間に冷たい対応をとらざるを得ない場面がありました。
監視する対象がネットワークセキュリティ中心で、対象がそこまで多くなかった頃はそれでもよかったのですが、ここ数年でEDRが普及し、エンドポイントも見ないといけなくなり、オンプレミスからクラウドに変わり、ネットワークセキュリティだけでは足らず、クラウドも監視する必要ができました。こうなってくると、製品ごとにログも違いますし、SOCも異なります。
お客様目線では、全部をまるっと頼れる業者(MSSP)がおらず、ところどころでしか頼れない場合も多くなってしまっています。
そのMSSPごとの壁を壊したいと思い、セカンドオピニオンサービスを立ち上げました。このセカンドオピニオンはSOC利用者の一番かゆいところに手が届くサービスであると思っています。
寺村:すごいですね!どんな製品のログにも対応するのは、かなり勇気のいるサービス設計だと思います。なぜそのようなSOCサービスを提供できるのでしょう?
阿部:一言でいうと、チームメンバーがみんな優秀だからです。
現在、所属しているメンバーは全員SOC経験者です。通信系・メーカー系・外資系・コンサル系など色んなSOCで色んな悩みを聞いてきたメンバーから成り立っており、個々のスキルを足し算するとカバー範囲が広い状況です。
このメンバーならお客様から何をきかれても大丈夫な自信と信頼がある。そこで思い切ってこのような勇気のいるサービスを提供してみようとなりました。
また、GMOイエラエにはSOCチーム以外にも社内には様々な技術に特化した優秀な人材がいます。
攻撃者目線の知見を集約したサイバーセキュリティの専門家だらけの会社なので、万一わからないことがあっても相談しながら、お客様に価値を提供できる体制が整っています。
寺村:新設したSOCチームだけど実態としてはベテランばかり (まさに強くてニューゲーム!)のメンバーで構成されているからこその「セカンドオピニオンサービス」ということですね。
ちなみにGMOイエラエのSOCサービスの導入を考えていないお客様の場合に、セカンドオピニオンサービスのみご提供すること可能でしょうか?
阿部:はい!いかようにも対応できるメニューになっているので、気軽に相談いただければそれだけ早く助けに行きます!
「もっとできる」メンバーが願うこと・叶えたいことを実現したい
阿部:GMOイエラエのSOC事業部のメンバーは、みんな前職で叶えられなかった「本当はもっとできるのに」という思いを持っています。
1つは、前述のサービス仕様の対応範囲の狭さゆえお客様の課題に答えきれないという思い。
もう1つは、運用ルールや既存技術で構築された環境ゆえの、本当はもっと技術的に良いものができるのにという、技術力を自由に発揮できなかった思い。
この2つの思いを実現させて、お客様により良い価値を提供したいと考えています。そのためにも、チームとしては「どこまでも自由にやる」という言葉を大事にしています。
牧田さんはこの会社を「エンジニアの楽園」にしたいというメッセージをよく発信するのですが、その言葉を自分なりに解釈し、各メンバーが願っていること・叶えたいことを自由に実現できるような環境・職場であることに重きを置いて、「どこまでも自由なSOC」というテーマでチームとして動いています。
寺村:SOCはどちらかというと適切な運用ルールを守って動く規律が重視される世界に見えるので「自由なSOC」というのは面白いワードですね。
阿部:エンジニアが好きなことで夢中になってしまう世界にしてあげたいというのがあります。自分がやりたいことに集中にできる環境にすることが、結果としてお客様にとってのセキュリティ向上につながっていくと思います。
一流のプロフェッショナルのセキュリティエンジニアが本気で楽しんで作っている製品の防御力が低いわけがない。自分にも厳しいプレイヤーたちが全力を発揮できる環境にしています!
熊坂:SOC事業部では細かい指示がないことも過ごしやすいポイントです。 何か大きなことをやるにしても、それぞれが知識ノウハウを持っているので、 得意分野を共有しあい、各自が裁量をもって進めています。
早川:チームのスタンスとして、お客様に寄り添い、お客様と一緒に考え、お客様と一緒に進めていきたいという気持ちが強いです。私が経験してきたSOCはあくまでサービス仕様は仕様として、ドライに考えることが求められるサービスでした。
しかし、GMOイエラエのSOCはお客様の困っているところを見つけて一緒に考えていく「伴走型」のイメージ。そこが自分は刺さりました。自分のやりたかったことはこういうことだったんだと、実感しています。
中里:私も前職はSOC事業に携わっていました。SOCの業務はお客様のお困りごとを解決するためにやるべきことが無限にありますが、人が気合でなんとかする、運用でカバーしているのが現状でした。
個人的には自動化できるところは自動化して業務を効率化したいとずっと思っていましたが、既存の積み上げてきた技術インフラやノウハウも大事にする必要がありましたので、自動化等の試みもなかなかうまくいきませんでした。
ただGMOイエラエは技術で解決しようと、すごく多くの試みを行っています。私はまだGMOイエラエに入社して少ししか経っていないものの、ここでは私がやりたかったことができると確信しています。だから今すごくワクワクしています。
独自のSIEM基盤を開発しSOCサービスの常識を覆す
寺村:続いてGMOイエラエのSOCサービスについて教えてください。
既存のSOCサービスは24時間365日監視を行ったり、何かインシデントが発生するたびに、シグネチャを製品ごとに書き起こして投入したりと、運用負荷が非常に高いイメージです。
そこを技術で解決しようとのことですが具体的な内容を聞かせてもらえますか。
阿部:まず、どうすれば人が張り付かなくてよくなるかを考えました。通常のSOCの場合はSIEMを人が常に監視していますよね。逆に言うと人が常に監視する必要がないSIEMを作ればいいんですよ。
もちろんそういったものは世の中になかったので、SIEM基盤を完全内製で一から作りました。AWS上にGMOイエラエの基盤があり、そこでイエラエ独自の「SOLOBAN」というSIEMを動かしています。メンバーたちが過去に経験してきたSOCのノウハウを結集して開発しました。
寺村:知らなかった!すごいですね!
熊坂:AWS上で処理する部分でポイントとしては、お客様のデータを取り込み、SIEMでわかりやすく確認するためにAthenaを使っています。
この Athenaで取り込んだデータをどう使っていくか、他のAWSの機能と連携し、どのように取り込みやすくするかはSOLOBANで一番検討したポイントです。
Athena自体は、AWS上のS3にあるデータをSQL等でわかりやすく検索する機能のようなものであるため、結局のところ、重要なのはデータ構造の設計です。
SOLOBANでは、SEM型と定義したデータ構造を設計し、これを中心として、AWS上の様々な機能を使うことで、SIEMおよびSOCの運用の自動化を行っています。
阿部:SEMは何の略か補足をお願いできますか。
熊坂:SEMは「セキュリティイベントメタデータ」の略称です。セキュリティの特定の事象に対して、さまざまなエンドポイントで検知した特定の時間を1セットとして切り取り、二次元的にデータをマッピングします。
この1セットの事象を確認できる形に落とし込んだデータ構造をSEMと呼び、管理しています。
この SEMをAthenaで取得し、どんな事象が起きたかを可視化しています。
阿部:結構マニアックな話をしていますが、各メンバーがオペレーションをやってきた経験で、お客様にとって、どんなアウトプットを提供すべきか明確にわかっていたので完成した構造です。
世の中で最も無駄がないセキュリティの分析基盤だと考えています。
寺村:エンタープライズの企業だと、お客様がSOCの仕組みをカスタマイズしたいという要望も出てくると思います。その場合はどう応えているのでしょう?
阿部:カスタマイズすべき部分は「サイバー予防カスタム」というサービスを作りました。
お客様の個別のシステムや仕組みなどに対し、カスタムメイドでシグネチャを作り、提供することが可能です。また、プラスしてセカンドオピニオンのサービスは確認できるログの幅も広いので、気軽に相談していただけます。
防御面のカスタマイズ性と、気軽に相談できる面のカスタマイズ性を組み合わせることでお客様の個別のご要望にも対応できる体制を作っています。
寺村:昔はSOCというとベンダーにすべてお任せするお客様が多かったと思うのですが、最近はセキュリティに力を入れている会社も増えているので、お客様自身も考え、一緒に進めていきたい傾向があると思います。
日本のセキュリティが成長している今、そこに適したサービスが必要になってきていると思うので、サイバー予防カスタムやセカンドオピニオンはニーズがあると思います。
独自のSIEM基盤により性能アップとコストダウンに成功
寺村:実際にSOCサービスを提供したお客様の反応はいかがでしたか?
阿部:お客様と一緒にどのような運用や対応が一番最適なのかを、一緒に考えていける提供方法はとても満足いただけているようです。
これまではお客様のSOCの選び方は、ネットワークインテグレーターにSOCを頼む、WEBサービス立ち上げたからWAFを見てくれるところを追加するなど、様々なベンダーで構成されていることも多く、初めから全体のセキュリティ対策を考えて設計できたケースは必ずしも多くないと思います。
ですので、お客様自体も現状を手に取るようには把握できておらず、今何が必要か分からない場合も多々あります。
その場合はセキュリティの改善系メニューとして設けている、「セキュリティ運用評価」をご提案しています。
ペネトレーションテストと一緒に行うことで、技術的に見た運用課題を確認し、今のセキュリティが持っている弱点を把握したうえで、その対策を現実に即した形にディレクションして、運用の形を考えるものです。お客様のセキュリティの現状が可視化されるので、次の対策に進めやすいとのお声をいただいております。
また、経営層の方を中心に、技術面からのみではなく、ポリシーやセキュリティ戦略的な部分から対策をたてたいとご要望いただくケースもあります。
その場合は運用構築アドバイザリーというメニューを準備しています。 会社規模を考えながら、セキュリティ対策を一緒に考えていくため、自社での対策とアウトソーシングでの対策のバランスも考えながらアドバイスしています。
このように技術側の観点と経営層側の観点のボトムアップ・トップダウン両方の目線でアドバイスできるので、フロント担当者様には喜ばれるケースが多いです。
寺村:技術面でお客様にご満足いただいた点はありますか?
熊坂:攻撃に対する、防御シグネチャの量ですね。あるお客様のWAF環境に提供しているものですと、デフォルトのWAFに実装されているシグネチャに、イエラエの知見およびお客様のご要望に応えて、シグネチャを追加した結果、そのお客さんの場合、シグネチャ数で言えば、従来のベンダーの130%増しで守れています。
寺村:なぜそんなに大量のシグネチャを作成することができるのでしょうか?
熊坂:シグネチャ作成を支えているのが「SOLOBAN」の仕組みです。 世の中には様々なWAFがあり、製品によって個別の特徴や方言などがあるので、全部別々にシグネチャを作ると膨大な数になります。
「SOLOBAN」は1つ共通のシグネチャを作り、様々な製品の方言に変換した上で、一気に配信できる仕組みを備えました。
脅威情報を収集し、攻撃方法を理解し、実際にシグネチャを1つ作る、そうすると「SOLOBAN」が自動で様々なWAFに対応するシグネチャを配信する。 この方法で効率的に守っています。
阿部: すでに利用しているWAFにGMOイエラエの魂を吹き込むと強くなります。GMOイエラエのアナリストが持ってきた知見を自動で配信できるようにしているので、コストメリットも出るし、対応までのスピード感も出る。
もちろん個々の製品ごとにシグネチャを書くことでもメンテナンスはできますし、実際にそのような対応をとられているベンダーも多いと思いますが、どうしてもかなりの労力が必要になるため価格もあがりますし、対象外とする製品も多くなります。
GMOイエラエはここを自動化するSIEM基盤を開発したので、性能よく、価格安くを、技術で実現することができています。
GMOインターネットグループの厳正な判断とその評価
寺村:GMOインターネットグループ向けにもサービス提供を行っていますよね。日本でも有数の規模のサービスを抱えているGMOインターネットグループですが、SOC導入までのお話を聞かせてください。
阿部:現在GMOインターネットグループが抱えている何百ものサービスを対象にSOCサービスを提供しています。攻撃で突破されるとクリティカルなサイトやページを中心に、毎日、それこそ桁違いのログを処理し、攻撃を検知しています。
寺村:GMOインターネットグループは元々利用していたSOCがありましたが、どういう経緯でGMOイエラエのSOCサービスの導入に至ったんでしょうか?
阿部:そうですね。もともとGMOインターネットグループでは24時間有人対応のSOCサービスを利用していました。導入を検討いただくにあたり、GMOインターネットグループには、旧来のSOCサービスとイエラエのSOCサービスを一定期間、それぞれ導入いただき、全くの同環境で、品質面、コスト面などを比較してもらいました。
寺村:同じグループなのに忖度ないですね。
阿部:ないですね。ただ結果として、検知力をはじめとした品質面、価格面とも同条件で比較したSOCサービスを上回る評価をいただくことができ、GMOイエラエSOCサービスの導入を決めていただきました。
寺村:GMOインターネットグループとしては、一番にユーザーを守らないといけない意識ですよね。グループ内とはいえ、忖度のないガチンコ比較できちんと選択しようというのは、いろいろな意味でありがたいことですよね。
阿部:はい。この他ベンダーとの遠慮のない比較と評価はSOCイノベーション事業部の自信にもなりました。
その他、通常の監視の他、GMOインターネットグループ全体をよくすることもGMOイエラエの役目、社会的責任と考えています。 常にサイバー空間を観測して攻撃情報を集めていますが、 よくも悪くもドメインサービス・ホスティングサービスともにGMOインターネットグループは国内トップのシェアがあり、 一定数悪い使われ方をされてしまう現実から目をそらすことはできません。SOCチームのリサーチにおいて、そういったIPアドレス・ドメインでGMOインターネットグループのものがあった場合は、GMOインターネットグループ本体に 共有し、Abuse対応として報告しています。
よりよい環境をグループとして、お客様に提供できるように連携し、よりセキュアな世界を作るために活動していきます。
「攻めのチカラ」を「守るチカラ」に SOC事業部が目指す未来
寺村:最後に質問させてください。SOCを通じて成し遂げたいビジョンやテーマはありますか?
阿部:誰かを助けるには守るチカラが必要です。GMOイエラエの攻撃者の視点をもったペネトレーションテストやセキュリティ診断等のサービスは「攻め」と表現されますが、最終的にはお客様を「守る」ためにあるものと考えています。
この「攻め」のサービスをお客様の「守り」に変えていく、その流れを確立し、より強固にしていくことがSOC事業部としてのテーマかつ、使命だと考えています。
イエラエの「攻めのチカラ」を「守るチカラ」に昇華して、これからも日本の企業の安心・安全につなげていけるよう邁進します!
GMOサイバーセキュリティ byイエラエは、エンジニアが常駐し活用する「第一SOC」と、お客様への集中的なサイバー攻撃などの緊急時にエンジニアが一同に会して防御・分析を行う「第二SOC」の2つのSOC(Security Operation Center)を設置しています。これらのSOCはセキュリティの研究開発や情報発信の拠点としても活用する予定です。サイバーセキュリティ事業は、同社のインターネットインフラ事業との強いシナジーが期待できます。GMOインターネットグループ、GMOサイバーセキュリティ byイエラエは本取り組みを通じて、日本のSOC、サイバーセキュリティの強化に貢献してまいります。
SOC(Security Operation Center)とは?概要や必要性を解説