企業情報

2020.09.08

「24時間365日体制でセキュリティ脅威を検知」ヤフーのSOC(ソック)

画像

近年、サイバー犯罪の件数は増え続けています。また、新型コロナウイルスの影響でテレワークやオンライン学習、オンライン飲み会などが急速に広まったことにより、サイバー犯罪の脅威はこれまで以上に私たちの身近に迫っているといえます。

ヤフーでは、ユーザーのみなさまに安心してサービスをご利用いただくため、独自のセキュリティ体制で24時間365日、セキュリティの強化に取り組んでいます。今回は、サイバー犯罪による攻撃の監視と分析を行う専門組織「SOC(ソック)」が具体的にどんな取り組みを行っているのか聞きました。

画像
中村 磨紀登(なかむら まきと)
2009年入社。Yahoo! WiFi、Yahoo! BB、Yahoo!プレミアムなどのシステム運用を担当後、5年前にセキュリティ監視室に異動しSOCとして勤務。
「サービスのシステム運用を担当していた際に、極秘レベルの情報であるお客様の個人情報を取り扱った経験から、セキュリティの重要さを実感しました。セキュリティにしっかり取り組むことへの意識が強くなったことがSOCの業務を希望した理由です」

「SOC(ソック)」とは?「CSIRT(シーサート)」との関係

「SOC」とは「Security Operation Center」の略で、企業のセキュリティ対応において自社の情報システムへの攻撃の監視や分析などを行う専門組織です。
私たちは、サーバーやネットワークへの攻撃によって発生したインシデント(問題)をいち早く検知できるよう、24時間365日、ヤフーのシステムやサービスに異常がないか監視・分析を行っています。2019年は、約1億6,500万件の検知があり、確認・対応を実施しました。

インシデントが発生したときは、その対応の優先度や対応方法を検討し、CSIRT(シーサート)という社内組織と連携して対応します。CSIRTは、「Computer Security Incident Response Team」の略で、インシデントの対処と事態収拾をはかります。

SOCとCSIRTの関係は「警官(監視)と消防士(対応)」に似ています。
警察官の使命は市民の安全を守ることで、そのために日頃は防犯活動を行い、事件の際には捜査も行っています。SOCの仕事はこれに似ていて、ネットワーク上に監視の仕組みを導入してサイバー攻撃の前兆を発見・抑止したり、インシデントが起きたときにはどこから侵入されたのか、情報漏洩(ろうえい)などの被害が起きていないか、といったことをログ(記録)から分析したりします。
そして、攻撃を受けてしまったときにその対処に当たり、可能な限り被害を最小限に抑えるのがCSIRTの業務で、これは「消防/レスキュー」の仕事に似ています。
警察と消防が連携して事件や事故対応を行うように、ヤフーでもSOCとCSIRTが協力しながらサイバーセキュリティに取り組んでいます。

近年、サイバー攻撃は巧妙化しています。これまでは攻撃の手口をパターン化し、それに合致したものを攻撃とみなして防ぐ、という考え方のもとで防御してきました。しかし、攻撃者も高い技術力と豊富な知識、発想力を持っており、従来にはない攻撃方法を開発して挑んできます。新しい攻撃手法を検知すると、防御側はそれに対応したパターンを作り、再発を防ぎます。このような「攻防のいたちごっこ」が繰り返されているのです。ですが、たとえ攻撃を受けても早期に対処できれば、被害を最小限にとどめることができます。

常に先手は攻撃する側、私たち守る側はそれを追いかける立場という、この「いたちごっこ」には終わりがありません。この「終わりのない」攻撃を防ぐことは、自分の想像以上の発想力や高い技術力に触れ、それを全力で防ぐということですので、とてもやりがいを感じます。また、社内にネットワークや情報システムの専門部署があり、すぐに相談できたり最新技術を教えてもらえたりするのは、ヤフーならではの強みの一つだと思います。

画像

ヤフーのSOCの一日

1)アラートの確認

業務用PCを起動し、各セキュリティ監視システムからメールで送られてくるアラート通知やSlackとそれらの状況を確認します。
未対応のアラートがなければそこで確認完了、未対応のアラートがあれば、分析に取り掛かります。そこでわかるのは、あくまで「攻撃を受けたという事実」だけなので、最終的にその結果どのような被害があったのか、または被害を受けずに済んだのかなどを分析します。一例として、パソコン内の情報を抜き取るなどの被害を受ける可能性がある「マルウェア」が添付された迷惑メールの通知を受けてからの分析の流れをご紹介します。

この場合はまず、このメールを受け取った人がマルウェア感染してしまったのか、パソコン内の情報消失や書き換え、外部への流出などの被害を受けてしまったのかを調べる必要があります。多くの場合、メールに添付されたファイルを開かなければ感染することはないので、受信者がファイルを開いたどうかを確認します。たいていは、メール受信前にセキュリティ機器やメールシステムが反応してスパム処理されていたり、受信者が事前にスパムメールと気付いて削除していたりすることがほとんどです。
調査を行った結果「被害なし」と判断したら、SOCの対応は終了です。
セキュリティシステムで処理されていれば、「すでにしっかり対策/対応できている」ということなので「消防署」であるCSIRTの出番もありません。(小火があったが問題なく消し止められたと)情報共有を行って対応を終わります。

実際に感染して被害が出てしまった(=建物火災になった)という状況であれば、SOCがインシデント発生の報告と被害状況や原因の確認を行い、報告を受けたCSIRTが被害の最小化と迅速な復旧や予防を行う、というのが大まかな流れです。
ヤフーのSOCでは、新しい手法の導入や監視領域の拡大の検討も行っています。具体的には、すでにある監視道具だけではなく、道具をさらに増やすことにも取り組んでいます。たとえるなら「これまでは望遠鏡でだけでの監視だったけど、監視カメラを追加導入しよう」というようなことです。

2)セキュリティ関連の情報収集

アラート通知の確認、対応が落ち着いているときは、セキュリティの情報、脆弱(ぜいじゃく)性の情報を発信しているニュースサイトやブログサイトなどをチェックします。その中で気になる情報やヤフーにも影響がありそうな内容があれば、さらに調べていきます。

この2つの作業は、毎日必ず行っていますが、それ以外については、その日の状況に応じて対応しています。

CSIRTとの連携において大切なのは「スピード」と「確実性」

CSIRTと連携する上では、インシデントが発生した際に「何が起きている」のか「どういう攻撃がされている」のか、確実な情報を速やかに伝えることを心がけています。
できる限り推測を入れず事実を伝えることが、迅速な対応のためにとても大切だからです。そして、どのような対策が効果的なのかを伝えるスピードの速さも大切です。

ヤフーのSOCとCSIRTの役割を明確に分けているのは、「発生しているインシデントを見る人」と「その事実にどう対応するか判断する人」は別の方がよい、という考え方からです。先ほど、CSIRTは消防士のような役割、と言いましたが、船長でもあるといえます。
SOCは、船上で風をよんで「この方向にもあの方向にも行けます」と伝える役割を果たし、それを聞いた船長であるCSIRTが、どの方向へ向かうかを判断する。このようにしっかり役割を分けることで、それぞれがやるべきことに集中でき短時間で判断もできるため、対応がよりスムーズになるというメリットがあります。

その先にいる「人」の顔も想像しながら監視を行う

私は監視や分析を行いながら、その先にいる人の顔も想像していることが多いです。 攻撃する側、される側どちらにも、その背後には「人」がいます。攻撃する人に対しては「この攻撃は、どういうつもりでやっているんだろう、どこまで攻撃が進んでいて、今はどんな気持ちなんだろう」、攻撃をされる人に対しては「こんな攻撃を受けてしまったら自分だったらとても困るだろうな」というところまで考えます。
今は道具や方法が増え、テキストを入力しボタンを押すだけで簡単に攻撃できてしまうウェブツールなどもあるので、もしかしたらゲーム感覚でやっている人もいるかもしれません。
そのような人たちに技術を悪用されヤフーの大切な情報を盗まれることを絶対に防ぎたい、そして攻撃から社員やヤフーのユーザーを守りたい、という思いで日々の監視に取り組んでいます。

近年では、大学の講義でもセキュリティについて取り上げられるようになり、SOCやCSIRTを将来の仕事として意識する学生も増えてきたようです。SOC業務に向いている人は、まず、細かいところにふっと気づける人。たとえば文章の誤字脱字を見つけるのが得意など、「ちょっとした違和感」に気づける人はこの業務に向いています。
また、ひとつひとつのアラートには必ず、「問題なし」「調べた結果問題なし」「対応が必要」などの区切りが必ずあります。これらについて毎回やりとげたと感じられる人、最新の技術や情報を貪欲に取り入れ続けられる人も向いていると思います。

画像

ヤフー社員をまず守り、その先のヤフーのユーザーを守る

私たちSOCのミッションは、ヤフーのユーザーのみなさまを守るために、まず、ヤフー社員を攻撃から守ること。その理由は、攻撃者はヤフー社員の業務用PCを経由してヤフーのサービスへ攻撃してくることも多いからです。社員が使っている実在するIDを使って、一見攻撃とはわかりにくい通常業務に似せたアクセスを装って攻撃をされると、それが社員本人の作業なのか、攻撃者によるものなのかを見分けることは難しい面もあります。
このような攻撃を防ぎ、ヤフー社員を守ることが、結果的にヤフーのサービスへの攻撃を防ぎ、ユーザーのみなさまにご迷惑をかけずにすむと考えています。SOCは、ヤフーサービスへの直接的な攻撃を防ぐことはもちろんのこと、その手前のヤフー社員への攻撃をしっかり防ぐことにも取り組んでいます。

今年は、コロナの影響でヤフーだけでなく各社のリモートワークが進み、会社以外の場所でネットワークにつなぐ機会が増えています。会社が用意している「VPN(※)」を経由して社内のネットワーク内で業務を行っている間はSOCが攻撃から社員を守ることができますが、VPNに接続する手前のインターネットに接続するルーターなどは社員の私物なので、そこに対して攻撃がされてしまうと、100%完璧にカバーすることは難しいのが現状です。リモートワークの普及により、IoTのセキュリティについての課題が新たに出てきていると言えると思います。
※VPN:「Virtual Private Network」の略で、特定の人のみが利用できる専用ネットワークのこと

リモートワークを行っている方に気をつけていただきたいのは、会社のPCを使うときは必ずVPNを使うことです。そうすることで、セキュリティ上の安全が得られます。また、外でインターネットにつなぐ際には、できる限り信頼できるネットワークに接続することも心掛けてください。

そして、何か不安に思うことがあったら、遠慮なくセキュリティ部門の人を頼ってください。会社や従業員、お客様を守るのがセキュリティ部門の仕事です。職務上、時に厳しいこと言わねばならない立場ではありますが、従業員の味方であることに間違いはありません。
たとえば、道に迷ったときに警察が快く道を教えてくれるように、SOCもみなさんを全力でサポートします。

ヤフーのSOC 今後の展望

先ほど、攻撃を防ぎ続けることは「いたちごっこ」のようだとお話ししました。今後は、攻撃側がAIを駆使し社員とまったく同じ行動に見せかけて攻撃してくるかもしれません。現実でも、本人とまったく同じ動きをする別人、たとえば「銭形警部に変装したルパン三世を見破る」ことはとても難しいのではないかと思います。
ですが、これはそれほど遠くない未来のことになってきています。このような攻撃にどう取り組んでいくのかも今後の課題です。

今年は特に、リモートワークに関するログデータなど、攻撃を検知するために取得する情報量を増やす、アラート通知の条件を追加するなどのセキュリティ体制を強化してきました。たとえば、リモートワークに関するログデータなど、攻撃を検知するために取得する情報量を増やす、アラート通知の条件を追加するなどです。これは、街にたとえるなら、設置している監視カメラの台数を増やしたり、性能を上げたりしているというイメージです。
リモートワークという新しい働き方においてのセキュリティ監視・対策のための体制は、すでにしっかりできています。

ヤフー社員に安全・安心な状態で働いてもらうために、そしてユーザーのみなさまに安心してご利用いただける安全なサービスの提供を続けるために、これからもしっかりとセキュリティの強化に取り組んでいきます。

【関連リンク】

このページの先頭へ