PR

 セキュリティ・ベンダーの米Counterpane Internet Securityは6月6日,国内の企業や組織を対象としたセキュリティ監視サービスを7月から提供することを明らかにした。企業や組織のLANをリモートから監視し,攻撃を受けるなどの異常が発生したら,同社のセキュリティ・オペレーション・センター(SOC)から,その企業のネットワーク管理者へ電話やメールで通知する。同社は,同サービスを99年からワールドワイドで展開しており,これまでも国内ユーザーが利用することは可能だったが,通知などはすべて英語だった。7月からのサービスでは,日本語で連絡する。

 Counterpane Internet Securityの創業者およびCTO(最高技術責任者)は,「Blowfish」や「Twofish」といった暗号アルゴリズムの発案者として,また“Applied Cryptography”や“Secrets&Lies”の著者として知られているBruce Schneier氏。同社が提供する監視サービス「Managed Security Monitoring」は,世界32カ国の企業や組織で利用されているという。同サービスの内容は以下の通り。

 まず,サービスを利用する企業や組織は,同社が提供する「Sentry」という装置(Linuxベースのアプライアンス)をLAN内に設置する。Sentryは,LAN内のセキュリティ装置(ファイアウオールやIDSなど)やサーバーからのログを収集し,重要な情報だけを同社のSOCへ送信する。Sentryの設置や必要な設定は,同社あるいは同社のパートナ企業のスタッフが実施する。

 Sentryからの情報は,SOCに常駐するスタッフがリアルタイムで監視し,必要に応じて解析して,実際に攻撃などが発生している場合には,電話あるいはメールで管理者へ通知する。緊急度が高い場合には電話で,それほど高くない場合にはメールで通知する。7月から開始するサービスでも,SOCのスタッフが監視および解析するところまでは,現在提供中のサービスと全く同じである。違いは,日本語で連絡することだけである。

 同社の資料によると,ある大企業の例では,LAN内のサーバーやセキュリティ装置からSentryに,24時間で1500万件の情報(メッセージ)が送られるという。Sentryは,その中から3700件の情報を重要だと判断して,SOCへ送信する。そのうち48件をSOCのスタッフは重要だと判断して解析し,その結果,そのうち2件をその企業の管理者へ連絡した。

 Sentryが,大量の情報から重要な情報をどのように選別するのかについては,「Counterpaneが今までに蓄積した経験を基にした,とても複雑なルールを使っている」(Bruce Schneier氏)。単に一つひとつの情報を見るだけではなく,複数の機器からの情報を組み合わせて判断する場合もあるという。Sentryのルールの更新や設定変更などはSOCから実施するので,一度Sentryを設置してしまえば,ユーザーが操作する必要はない。

 現在同社が提供している監視サービスでは,LANで異常が発生した場合にSOCから連絡するだけで,実際の対応はユーザー企業の管理者が行う必要がある。リモートからファイアウオールの設定を変更するなどでして異常に対応するサービスは,個別対応で提供しているケースはあるものの,あまり多くはなかった。

 しかし,「セキュリティ管理者を置けない小規模な企業では,監視だけではなく対応までを含めたサービスのニーズがある」(Bruce Schneier氏)として,2003年の夏から,監視だけではなく,対応を含めたサービスもメニューとして用意する。

 現在同社は国内でパートナー企業を探しており,既に4~5社のシステム・インテグレータが名乗りをあげているという。

 監視サービスの利用料金は,監視対象とするLANの規模や機器の台数によって異なる。小中規模のLANでは月額6000~7000ドル程度だが,大規模なLANになると月額4万ドル程度になる。

(勝村 幸博=IT Pro)