セキュリティ
【第1回】日立のマネージドセキュリティサービス（MSS）がゼロトラスト時代の監視・運用をトータルにサポート

サイバー攻撃の高度化と環境変化でセキュリティ運用負荷が増大

株式会社 日立製作所
マネージドサービス事業部
セキュリティサービス本部
サイバーセキュリティソリューション部
菅佐原 悟

DXの進展にともない、サイバー攻撃のリスクが増大しています。サプライチェーンも含めて、システムの停止が業務停止に直結し、甚大な被害がもたらされるケースも増えています。セキュリティ規制や標準の制定がグローバルで活発化するなか、企業や組織ではセキュリティを考慮した高度なシステム運用がますます重要な課題となっています。

「しかし、IT環境がオンプレミスからクラウド/SaaS、OT環境へと拡大する一方、ゼロトラストの広がりによって監視・分析力の向上から被害極小化に向けた包括的運用に重点が移るなか、運用負担はますます増加しています。自社でのセキュリティ人財確保も困難であるため、セキュリティアウトソーシングへの需要が一段と高まりを見せています。

そこで日立は、こうした課題を解決するために、平時から有事までお客さまのセキュリティ運用サイクルを一括で受託・サービス提供するマネージドセキュリティサービス（MSS）を立ち上げました」と、日立製作所の菅佐原 悟は説明します。

従来の境界型セキュリティモデルは、インターネットと社内ネットワークの間にファイアウォールやWAF（※1）、プロキシなどのセキュリティ機器を設置し、問題のある通信を遮断することで安全性を確保していました。ところがゼロトラスト環境では“境界”が存在しないため、データを保管・処理する端末（エンドポイント）やクラウド環境の監視が重要なポイントとなってきます。

「こうした状況を踏まえ、日立のMSSではまず、パブリッククラウドとエンドポイントの監視サービスを先行して提供を開始しました。MSS監視サービスには大きく3つの特長があります。1つ目は、豊富な運用実績です。日立は大手金融機関や官公庁、大手製造業など150社以上のお客さま向けに、20年以上にわたりセキュリティ監視サービスを提供してきました。2つ目は、高い監視品質と高度分析です。最新の攻撃・脅威情報や、当社が保有するインシデント事例の情報を分析し、検知ルールに実装することで高品質なセキュリティ監視・分析サービスを提供します。3つ目は、日立グループ37万人が利用するIT基盤のセキュリティ監視の実践ノウハウを最大限に活用していることです。

これらの特長により、インシデント対応の迅速化と影響範囲の最小化に寄与するほか、クラウドに精通したセキュリティ人財が不足しているお客さまでも、安心・安全なマルチクラウド運用を実現していただけます」と菅佐原は言います。

※1 Web Application Firewall

AWSとAzureを対象とした「パブリッククラウド監視サービス」

パブリッククラウド監視サービスは、お客さまが契約されているパブリッククラウド環境を日立が監視するもので、マルチクラウド環境のIT基盤の包括的なマネージドサービスを提供する「Cloud and Application Managed Service（CAMS）」の1メニューとして提供されます。

「パブリッククラウドの監視対象はAWSとAzureになります。AWSはAmazon GuardDuty、AzureはMicrosoft Sentinelをお客さま環境に導入いただき、日立MSSが24時間365日の脅威監視を行います。発報されたアラートには日立MSSが迅速に対応し、通知や詳細分析を行い、月次レポートも提供します」と、菅佐原は説明します。

すでに事例もあります。ある金融機関のお客さまは、Azure環境上のWebサーバ約100台にパブリッククラウド監視サービスを導入。Azure FW、Azure WAF、DDoS Protectionを監視対象とする境界型監視を実施しています。Microsoft Sentinelから上がったアラートは日立MSSへ通知され、詳細分析が行われ、月次レポートも提供されます。

社内実績を生かした「エンドポイント監視サービス」

エンドポイント監視サービスでは、お客さまのMicrosoft Defender for Endpoint（MDE）環境を監視し、MDEで定義されたセキュリティにより、監視分析の対応を決定します。アラート発生時には蓄積されたノウハウを基に、速やかに通知を行うほか、並行して高度な知見を持つ分析官が詳細分析を実施してインシデント対応を支援します。

「本サービスは、すでに日立グループでMDEの監視を実施している実績とノウハウを活用し、迅速かつ高精度な監視・分析サービスを提供可能です」と、菅佐原は語ります。

本サービスにも3つの特長があります。1つ目は、お客さま・日立MSS連携を迅速に行う監視体制が構築されていることです。セキュリティレベルの異なる人財を階層的に配置し、インシデントのレベル・状況に応じて対応。緊急時の対応を円滑化するため、セキュリティSEがSOCと連携し、お客さまと調整を実施するオプションも用意しています。

2つ目は、対応が必要なアラートのみフィルタリングして通知することです。MDEで発生したアラートをSOCで切り分けし、重要なアラートのみ通知することで、過検知・誤検知の多いアラートには抑止設定が行われ、業務が効率化できます。

3つ目は、日立グループの監視実績を活用している点です。

「日立グループでは、日本およびアジア・北米・欧州まで広がる37万人規模の従業員の端末を監視しています。このアラートを分析し、ユーザー固有の問題による誤検知や、影響のないパターンなどに切り分けることで、調査するためのノウハウが蓄積されていきます。こうしたノウハウをアラートごとに整理することで、お客さま環境の監視・分析においても、より具体的で有効な対応案を提示することが可能です」と菅佐原は説明します。

最後に菅佐原は、ゼロトラスト環境における監視の展望を次のように語りました。

「今回はパブリッククラウドやエンドポイント監視についてご説明しましたが、今後はその他のゼロトラストの構成要素や、今後も残るであろうオンプレミスの環境を含めた総合的な監視が必要になります。そこではXDR※2やSIEM※3を活用して監視対象デバイスに左右されない一元的なアーキテクチャーを整備することや、ログを集約して多様化するお客さま環境に対応するハイブリッドな監視を実現することが重要になってきます。今後も日立は、お客さまのセキュリティ運用の負荷軽減に向け、MSSのサービス強化と拡充を図っていきます」

※2 Extended Detection and Response
※3 Security Information and Event Management

「【第2回】製品セキュリティ運用の高度化を支援する日立PSIRTソリューション」はこちら＞

他社登録商標
・AWS、Amazon GuardDutyは、Amazon.com, Inc.またはその関連会社の商標です。
・Azure、Microsoft Defender for Endpoint、Microsoft Sentinelは、マイクロソフト 企業グループの商標です。
・その他、本記事に記載の会社名、商品名、製品名は、それぞれの会社の商標または登録商標です。