新型コロナによる出社禁止、セキュリティ監視センターJSOCはどうピンチを乗り越えたのか？

今年4月初旬に全国で発令された「緊急事態宣言」。ラックではそれを見越して3月26日に、全社員に対して在宅勤務の号令が出ました。しかし、顧客企業の情報システムの安全を24時間監視するJSOCは、たとえどんな事態になってもその業務を止めるわけにはいきません。それと同時にセンターで監視を担う社員の健康や生命も守らなくてはならないという矛盾。この事業を止めないためにJSOCでとった対策はどのようなものだったのでしょうか？

混乱のさなか、サービスを維持するために奮闘したJSOCのインフラを支える新津と加藤に、その経緯とピンチをどう乗り越えたかを聞いてみました。

プロフィール

緊急事態宣言解除後のJSOCの状況

──新型コロナウイルスによる緊急事態宣言も解除されましたが、今のJSOCの状況はいかがですか？

 新津  セキュリティ対策においても言えますが、今はまさに攻撃の初弾を受けたにすぎません。そのため、全く安心できていません。セキュリティ事業の責任者も、今期中はこの状況が続くことを前提に業務を組むようにと会社全体へ指示を出している状況です。

──世の中は、緊急事態宣言の解除とともに気持ちは幾分和らいでいるように思いますが、JSOCは厳しく対応しているのですね。

 加藤  そうです。我々JSOCはお客様の環境を守るために存在するわけで、JSOCのサービスが停止することは万が一にもあってはならないですから。

 新津  たとえば、JSOCで働く社員が新型コロナウイルスに罹患した場合、JSOC自体を隔離することになります。そうなると、お客様を守る「砦」であるJSOCが「陥落」することになるわけです。ラックでは、このような状況だけは絶対に起こしてはならないという危機感があります。

JSOCの提供するサービス

──様々な事業者が感染被害により施設が隔離され利用できなくなるケースが報道されていますよね。
JSOCではどのようなサービスを提供しているのでしょう？

 加藤  JSOCが提供するセキュリティ監視サービスは、様々のセキュリティ監視機器から発せられるログを収集し、集約と分析を行うことで、サイバー攻撃や情報漏えいなどの兆候を発見し、いち早くお客様へお知らせするサービスです。

 新津  私がJSOCに配属された時には契約顧客数は今より少なく、サイバー攻撃も今のような頻度でもなく、技術的にも荒削りな感じでした。ところが、その後のサイバー攻撃の増加と、攻撃の巧妙化に危機感を持った私たちラックは、自社開発でセキュリティ監視・運用支援システム「LAC Falcon」の開発をしました。LAC Falconが稼働当初は、JSOC顧客全体の一日当たりのアラート受信数が3～4億件だったものが、今では25億件にまでになっています。

 加藤  あるセキュリティメーカーの発表では、一日に作成されるコンピュータウイルスの数は100万を超えるそうです。このようにサイバー攻撃が膨大な頻度になると企業としても自社で対応が難しくなることから、ラックのようなプロフェッショナルに運用支援を依頼することに価値を見出していただいています。

──なるほど、企業の砦のイメージそのものですね。そのJSOCにおいて、新津さん率いるセキュリティ情報システム部は、どのような活動をされているのですか？

 新津  我々は、JSOCのシステム基盤からアナリストやサポートチームの運用環境まで、システム企画と導入、そして監視システムの運用を担当しています。先にお話ししたLAC Falconはもちろん、大規模ストレージや大容量高速ネットワークの導入も我々の分野です。

 新津  あとは、JSOCを運用するなかで発生するトラブル対応です。以前、お客様先でのログが莫大になり溢れてしまった時や、クラウドサービスが障害を起こした時にはかなり焦りました。それら日々発生する問題に対応するための、我々インフラ運営のスペシャリストがいるわけです。ところが今回の新型コロナはかなり毛色が違いました。

コロナ禍では、通常業務が課題に

──新型コロナウイルスへの対策はどのように違ったのですか？

 新津  JSOCのシステムを鉄壁なものにしたがために、それが足かせになったという感じですかね・・・

 加藤  具体的にはJSOCは、お客様の最重要情報を扱っていることから、非常に厳密なセキュリティ対策をしています。入退室管理などでは物理セキュリティはもちろん、金融企業のお客様に対応するためにPCIDSS準拠の対策を取り入れることや、ISMS認証を受けることもそれら取り組みの一環です。社員への教育も、技術的なものだけでなくモラルも含めてセキュリティ対策を重視しています。

 新津  つまりJSOCの業務は、JSOCの監視センター内で行うことが前提になっていたんです。しかし、通勤で新型コロナウイルス感染者が出てはいけない。かといってJSOCの外にデータを持ち出して分析をしてはならない。この板挟みになったわけです。

 加藤  JSOCは、天災などに備えてサテライト施設で監視運用が出来る仕組みを設けていますが、結局人が移動することでの感染リスクを考えるとそれも解決策になりませんでした。

出社せずにセキュリティ監視を行う方法

──出社しなければ仕事ができない、しかし出社してはならないわけですか・・・

 新津  はい、そこで考えたのが、データを外に持ち出さずに、セキュリティ監視センターにある分析端末を遠隔で操作する「リモートデスクトップ」の活用です。JSOCには、遠隔からシステムメンテナンスをするために、数台のリモート端末を用意していて、Windows10に搭載されているリモートデスクトップを利用できるようにしていました。これを使うことで、在宅勤務で使うPCにはアナリストらの分析端末の画面だけが表示されるという仕組みです。

 加藤  実際にJSOCの技術者に利用してもらったのですが、OS搭載のリモートデスクトップ環境はキー入力に対する反応が悪く不評でした。JSOCでは職人技を持つアナリストが、膨大な量のデータをチェックして詳細な分析を行うわけですが、システムの反応速度がパフォーマンスに影響するのです。また、ネットワーク帯域に大きく依存していることも問題になりました。メンバーの中には、自宅にブロードバンド回線を持っていないものもいたため、携帯キャリアのテザリングを利用しましたが、正直それでは使い物にならなかったのです。

さらに、クリップボードを経由したデータ転送やファイル転送の制御が面倒だったり、何よりVPNを利用しないとJSOCの分析端末にアクセスできないのは、VPNへの通信負荷を考えると現実的ではありませんでした。

 新津  それらもろもろの課題から、リモートデスクトップ以外のツールを模索していた中で候補として出てきたのが、ラックでも取り扱いを始めたTeamViewerでした。

 加藤  TeamViewerについては以前から名前は知っていましたが、JSOCでは利用したことはありませんでした。使ってみて驚いたのは、テザリングの低速回線でも画面描画とキー入力にストレスが無いということでした。これはアナリストも驚いていました。データやファイルの転送については、ポリシーで機能を無効化したうえで利用してもらうようにできました。そしてTeamViewerの場合には、VPNがいらないのです。TeamViewer専用のポートを使うか、SSL-VPNを使うことでVPNを介さなくても接続ができます。

 新津  あとは、2要素認証ですかね。ラックの社員以外に接続されるわけにはいきませんので。

──なるほど、TeamViewerを利用することで、アナリストは自宅から業務ができるようになり、新型コロナによる感染の対応とともに、両立できたわけですね。

 加藤  そうですね。先にお話をしたように、今の運用環境で十分に機能していますし、新型コロナウイルスに対する対抗策が見つかるまでは、今の体制を維持することになると思います。

──ありがとうございました。いまだ臨戦態勢を崩さないJSOCですが、早くJSOCみなさんが安心して業務を行い、サイバー攻撃からお客様を守り続けることを願っています。

今、日本の企業の多くでテレワークへの取り組みが進んでいます。
ラックのJSOCのような高い機密性が求められ、24時間365日決して止めることのできない業務においてもテレワーク、在宅勤務を導入することができる、その実例を紹介いたしました。

本件についてご興味のある方、テレワークとセキュリティに関する悩みなどがあれば、お気軽に相談、問い合わせください。