コロナ禍など社会の変動に合わせて、デジタルトランスフォーメーション(DX)は新たな局面を迎えています。DXには幅広い領域がありますが、海外への渡航の制限、テレワーク需要の拡大などによって、セキュリティ強化が重点課題のひとつになりました。
プラント制御のシステムを中心とした計測・制御機器メーカーである横河電機株式会社はDX戦略推進の一環として、世界中の拠点のセキュリティを強化しています。PoCなどの結果から採用したソリューションが、データ分析や可視化のテクノロジーを提供するElasticでした。
横河電機株式会社の事例をもとに、グローバルなSOCの基盤をElasticで構築するための導入ノウハウを紹介します。
横河電機がSOCに求めたグローバル化
横河電機株式会社は、メーカーとして扱う製品および社内ともにDX戦略による変革をめざしています。DX 戦略を推進するときの重点項目がセキュリティの強化です。
事業戦略としては、クラウド、データアナリティクス、人工知能と機械学習、IIoT (Industrial Internet of Things)などのテクノロジーを駆使して、これまでのハードウェアによる販売と保守サービスのビジネスモデルから、継続的な利益獲得を目的としたリカーリングモデルに転換をめざしています。
セキュリティの面で重要になるのは、制御システムなどのOT(オペレーショナルテクノロジー)とIT](情報技術)の融合です。OT 環境は、外部ネットワークから切り離されていることから、サイバー攻撃に対する防御力が高くありません。ただし、ITと融合させることにより、OT環境のセキュリティを強化することができます。
一方、社内のDX戦略としては、日本のデジタル戦略本部が指揮をとって、世界中の拠点のインフラストラクチャーとアプリケーションの共用化および最適化を推進しています。世界中の拠点でリージョンごとにIT 部門が置かれていましたが、これらを統合する目的です。この流れにしたがって、セキュリティの強化も行いました。
セキュリティ対策の重要度が高まったことから、多くの企業では、セキュリティに特化した組織を設置するようになりましたが、このような組織をSOC(Security Operation Center)と呼びます。
横河電機株式会社では2018年の秋頃から、グローバルなSOC基盤の構築をめざして共通ソリューションを選定し始めました。その結果、採用したソリューションがElasticです。なぜ選ばれたのでしょうか。
横河電機がElasticを選んだ理由と導入の経緯
グローバルなSOC基盤を構築するために、横河電機株式会社では幅広い機器やシステムからログの収集と分析が可能なソリューションを求めていました。Elasticを採用した理由は、その要件を満たしていたからです。
Elasticの選定理由は、さまざまなセキュリティ製品に対応できること
Elasticを採用する前には、横河電機株式会社はセキュリティ監視を外部のIT 企業に委託していましたが、監視システムはIDS(Intrusion Detection System:不正侵入検知システム)が中心でした。しかし、IDS による監視だけでは、高度化かつ複雑化したサイバー攻撃の動向をキャッチすることは困難です。誤った検知も数多く発生します。
加えて2018 年当時、横河電機株式会社では、世界中の拠点が独自に選定したセキュリティ製品を導入していました。そこで世界中から収集したログを分析するためには、製品に依存しないプラットフォームが必要です。
この条件に合致したのがElasticでした。SIEM をはじめエンドポイントのセキュリティ、脅威の検出、クラウドの監視など、幅広い用途に対応する柔軟性が評価されました。
PoCからElasticの稼働に至るまで
SOCのシステム候補としてElasticを選定した後、2019年の1月から3か月をかけてPoC(概念検証)を行いました。
検証の重点項目は、東京の本社およびシンガポールの拠点で、IDS、認証サーバ、DHCP/DNS サーバなどからログを収集してElasticに転送し、収集から分析までに費やす時間を測定しました。その結果、セキュリティ監視が十分に有効であると判断して、2019年4月に正式に採用をします。
正式採用をした後は、検証システムのリソースを増強して、そのまま本番環境に移行。SOC立ち上げに向けて、セキュリティ監視基盤の開発に着手しました。
Elasticを基盤としたSOCの立ち上げ
SOC基盤としてElasticの採用を決めてから、横河電機株式会社が注力したのは、Elasticを活用できる技術者の採用と教育でした。
Elasticの技術者の採用と、共通スキーマ定義のための教育に注力
横河電機株式会社は、まずElasticに精通した技術者の雇用に着手しました。インド南部のバンガロールのエンジニアリングセンターを通じてElasticの技術者を募集し、そこで採用した技術者によってSOC基盤の立ち上げを進めました。
拠点ごとに異なるセキュリティ製品からログを収集するには、検索のスピードを上げる共通スキーマの定義が重要です。
したがって、技術者のスキルアップを目的として、Elasticの教育サービスそしてコンサルティングサービスを活用し、Elasticの共通スキーマである「Elastic Common Scheme(ECS)」の定義、「Logstash」でログをフィルタリングするときの設定に関する教育を行いました。
監視拠点の拡大とアプリケーションの改善
技術者の雇用と教育により人材的な側面からSOC基盤を固めた後、2019 年度にセキュリティ監視を稼働させました。拠点は日本、ヨーロッパ、北米、シンガポール、中東、インドです。
セキュリティ監視と並行して、監視および脅威を検知するアプリケーションの改善を行いました。Elasticと他社の脅威インテリジェンスあるいはIOC(Indicator Of Compromise:セキュリティ侵害インジケーター)を連携させることにより、監視と検出の確度向上に取り組みました。
さらに、2020 年には監視対象となる海外拠点を、中国、ロシア、南米、台湾、フィリピン、インドネシアなどに広げていきました。
世界中の拠点から収集したイベント情報を監視
横河電機株式会社のSOCでは、Elasticに集約されたデータをリアルタイムで分析しながら、日々、サイバー攻撃の予兆やセキュリティ侵害の検知を行います。
監視の対象は、世界15か所の拠点で使われているPCのウイルス対策ソフト、EDR (Endpoint Detection and Response)、Active DirectoryのサーバやDHCP/DNSサーバ、侵入検知システム、AzureやAWS のWAF(Web Application Firewall)に及びます。PCだけで世界で約3万台、1日に収集するイベント情報は500~600万件、容量では1 日に250~300GBに達するほどです。
短期間でグローバルなSOC 基盤を立ち上げたことは、大きな意義がありました。Elasticのソリューションに特化した人材を雇用して教育を行い、主要の拠点から監視を着実に拡大させた戦略が成果をあげています。
その後、Elastic SIEMを導入してさらにセキュリティ監視を強化するとともに、機械学習による高度な検知プログラムの開発やMITRE ATT&CK活用を推進しています。
ちなみにMITRE ATT&CKを簡単に解説します。MITREはアメリカの連邦政府が出資する非営利組織です。活動のひとつとしてサーバーセキュリティ分野があり、ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略で、脆弱性を利用した実際のサイバー攻撃の戦術や技術からナレッジを体系化したフレームワークです。
また、SOC の基盤をSaaSで提供される「ServiceNow」という管理ツールと連携させ、アラートに対するコメントやインシデントの対処を付加して、自動的に関連する担当者に知らせる仕組みを運用しています。
社内で蓄積されたElasticのノウハウは、セキュリティ監視サービスを提供している事業部門と共有し、顧客向けのサイバー攻撃対策とセキュリティ強化に活用されています。
まとめ
グローバルなSOC基盤の構築にあたっては、多種多様なログを集約および可視化して、リアルタイムで分析することが求められます。導入にあたっては、リスク管理の基盤を迅速に構築するために、PoCから稼働までの期間は最短であることが理想です。
特に大企業のSOCでセキュリティを監視するためには、横河電機株式会社のように、ソリューションを選定した後で人材の雇用および教育を徹底し、特定の拠点から全世界の拠点に拡大する戦略が重要といえるでしょう。
Elasticによって、グローバルなSOC基盤をスピーディーに導入することが可能になります。