株式会社エヌ・ティ・ティ エムイー様
顧客向けSOCサービスの基盤としてElasticsearchを選択。導入の決め手は、開発スピードとコストバランス、そして製品に精通する「人」の手厚いサポート力にあった。
概要
株式会社エヌ・ティ・ティ エムイー(以下、NTT-ME)は、NTTグループのネットワークを構築・運用・監視する「通信ネットワーク関連事業」と、社会にサービスやソリューションを提供する「企業向けサポート事業」を展開する、ネットワーク総合エンジニアリング企業である。
同社では、顧客向けSOC(Security Operation Center)の新サービスを構築するにあたり、当社が扱うElasticsearch(以下、Elastic)を2021年度より導入し、その運用を通じて知見を蓄積してきた。
プロジェクトを遂行するNTT-MEの星慎一郎氏、鈴木亮太氏、佐々木満春氏に、導入の経緯と成果について聞いた。
課題
高度なセキュリティ管理を求める組織向けにSOCサービスを構築
NTT-ME においてSOC(Security Operation Center)サービスを展開するシステムオペレーションセンタは、大きく以下の4業務を統括し、それぞれの専門家が一丸となってSOC業務に取り組んでいる。
①監視業務:24時間365日体制でセキュリティログを監視し、切り分け・対処を行う
②脆弱性対応業務:攻撃者の視点からさまざまな疑似攻撃を試行することで能動的に脆弱性を発見し、セキュリティ対策を評価する
③統制業務:セキュリティインシデント発生時に全体を指揮する
④構築・導入業務:最新のセキュリティ技術やセキュリティ製品を見極めて改善策を取り入れる
主な監視対象は、UTM(統合脅威管理)や各種メールセキュリティ製品、サンドボックス、WAF(ウェブアプリケーションファイアウォール)などで、監視エンドユーザーは数十万ユーザーにのぼる。アラート対応や問い合わせ対応をはじめ、Webやメールの過遮断等の調査業務などにも対応する。
SOCサービスの立ち上げは、2020~2021年頃にさかのぼる。企業や組織が多様な働き方を模索する中、NTT東日本グループが提供する通信回線や保守契約先から、セキュリティにかかわる相談が増大したのである。脅威情報のマッチングや相関分析などを通じて監視する、高度なセキュリティ管理サービスへの要求が高まったのを受け、2021年、NTT東日本グループとしてSOCサービスの構築に本格的に取り組み始める。その基盤として複数の製品から選ばれたのが、NTTテクノクロスが扱うElasticだった。
解決へのアプローチ
Elastic導入の決め手は、トータルコストと機能開発力、精通するエンジニアの存在
マネージャーとしてプロジェクトを管理する星慎一郎氏は、Elastic製品を選定した理由を、次のように語る。
「ポイントは四つありました。まず、お客様に提供するサービスの基盤となるので、コスト面での配慮は重要です。当初、社内で利用していた製品を第1候補に検討しましたが、MSSP(マネージドセキュリティサービスプロバイダー)として契約するとコストが上がるうえに、利用したいセキュリティ機能に制約があることがわかり、利用を断念しました。そこからいくつものツールやソリューションを比較検討し、最終的にクラウドでの構築を前提にMicrosoft社、IBM社、そしてElastic社の 3製品に候補を絞りました。膨大なログを扱う想定のため、検索スピードが速く、当社がイメージするログ分析の手順に近いこと、さらに機能追加(開発)のサイクルが早いなどの将来性を評価してElasticの導入を決めました」。
Elastic導入の中心メンバーである鈴木亮太氏は、「候補の3製品はすべて、自分たちでログを取り込んで試しました。その際、Elasticのデータ収集ツールFilebeatが使いこなせず、ログを取り込むことができなかったのです。フォローしてくれたのは、NTTテクノクロスでした。Filebeat周辺のサポートをしていただき、つまずきかけたログの取り込みを正常に行えたことも、Elastic選定に貢献したと思います。検討した中にはサポート可能なベンダーが見つからない製品もあり、製品に精通するエンジニアによるサポート体制の有無も選定ポイントでした」と、当社のサポート力を評価する。
ソリューションとその成果
求められていたSOCサービス、想定以上のサービス展開に対応
NTT東日本グループ は2022年にSOCサービスの提供を発表、多くの受注を獲得した。NTT東日本グループによるSOCサービスが求められていた証といえよう。
しかし、「想定よりも展開スピードが速く一気にユーザーが増え、当初は想定量を超えるログの扱いなど、負荷がらみのトラブル対応に追われました」と、佐々木氏。続けて、「セキュリティ監視はその性質上、システムを止めるわけにはいきません。Elastic 社やNTTテクノクロスのサポートの力を借りながら、トラブルを回避する仕組みやセキュリティ監視レベルを強化し続けています」と語る。安定的な稼働と信頼の下、数十万のユーザーが日々安心して業務を行えている。
また、鈴木氏は運用にあたって「軽微なアラートでお客様を煩わせないよう、できるだけ当社内で多角的な分析を行い、対策が必要な場合のみ通知するよう努めています」と語る。実際にお客様へ通知した例として、Elasticで不審な振る舞いを示すアラートを検知し、ランサムウエア感染と判断されたケースがあった。即座に通知・対処を行い、攻撃被害を最小化したことでお客様からは感謝の言葉をいただいたという。
さらに、お客様向け監視レポートについても、ElasticのAPIを活用することで柔軟な形式での提供が可能となり、お客様から喜ばれている。
今後の展開
SIEMに集約するサービスを展開し、お客様を脅威から守る
今後は、SOCの知見をさらに積み上げるともに、SIEM(Security Information and Event Management)を利用したサービスを広げていきたいと考えている。
「新たな脅威が生まれれば、新たなセキュリティ製品も増えます。インシデント発生時に即座に対応するためにも、SIEMに集約していきたい」と鈴木氏は語る。
佐々木氏も、「お客様企業のすべてのセキュリティ製品をSIEMに集約できれば、脅威を検知しやすくなり、お客様側のメリットも大きくなります。SIEMを通じて、我々の知見を多くのお客様に活用していただけるサービスを提供したいですね」と、新たな展開に意欲的だ。
最後に、NTTテクノクロスに対する評価や、今後への期待を聞いた。
「いままで何度も難しい課題にぶつかりましたが、そのたびに専門性と粘りある対応で助けていただきました。スキルが高いメンバーぞろいで、SIEM運用における手厚いサポートを期待できる点がとても心強いです」(鈴木氏)。
「スキルはもちろん、対応のスピードや柔軟性を高く評価しています。その時点ではわからないことやノウハウがないことについても、すぐに調べたり、確認したりして、レスポンスよく対応する姿勢がとても印象的です」(佐々木氏)。
「お客様の環境は常に変化し、新たなログも増えていきます。ログは分析手法やアラートの設定に要するさまざまな加工を経て、Elasticに取り込みますが、一筋縄ではいかない難しい作業が多く、Elastic のスペシャリストであるNTTテクノクロスさんには大変助けられています。親身になって、ともに知恵を絞ってくださる心強いパートナーです。これからも引き続きよろしくお願いいたします」(星氏)。
お客様プロフィール
設立 | 1999(平成11)年4月1日 |
---|---|
事業概要 | 情報通信技術(ICT)関連サービスを提供。ネットワークの構築や運用、クラウドサービス、セキュリティ対策、システムインテグレーションなど、事業分野は多岐にわたる |
資本金 | 1億円(資本合計 185億6800万円 ※2022年3月31日現在) |
従業員数 | 約1万3000名(2023年10月現在) |
URL | https://www.ntt-me.co.jp/ |
※2021年11月現在