富士通株式会社: 富士通 セキュリティオペレーションセンターにELASTIC MACHINE LEARNINGを採用

日々巧妙化するサイバー攻撃に対し、その対策のために多くの運用リソースが費やされてし まうことが、企業や組織の課題となっています。富士通では、お客様のこのような課題に対 し、サイバー攻撃対策として必要不可欠な、「検知・防御」、「分析・対処」、「セキュリティ耐 性強化」のセキュリティ運用をトータルでサポートするサービスを、グローバルマネージドセ キュリティサービス(GMSS) として提供しています。

お客様自身では対応が難しい、24時間365日のリアルタイム監視、的確なインシデント対応 といった継続的なセキュリティ運用支援など、サイバー攻撃に対応するためのセキュリティ 運用サービスを提供し、重大インシデント発生時には、高い技能を有するエキスパートが 課題解決に向けサポートいたします。

富士通が提供するGMSSでの、セキュリティ監視・分析業務は、主にセキュリティ機器が検 知したアラートに基づき複数のログを突合しながら、相関分析を行い、アラートの真偽につ いて確認をしております。（偽陽性の排除）

また、セキュリティ機器が検知しないものは、正常な通信として扱われますが、その中から もアラートとすべき情報の抽出（偽陰性の排除）を行うことで、検知精度の向上を行い異常 の早期発見を目指しております。弊社の環境では、1日に数千万～数億件という膨大なログ を処理するため、これら全てを人手で確認し、異常値を導き出すことは事実上不可能な状 態でした。そのため、人手を要さずに網羅性を確保できる検知手法と運用を考える必要性がありました。

富士通SOCでは、以前からオープンソースのElasticsearchをログ集積基盤として一部導入を していました。当初は、ログ蓄積・検索のためのオープンソース・ツールとしての利用に留ま っていましたが、Elastic Stackとなってからは、開発のスピードも早く、リアルタイムにログ を集計、分析する基盤としての必要機能も実装されてきたことから、新機能を運用に取り 込みながら徐々に本格的に活用するようになっていきました。

特に注目したのは、X-Packに実装されたMachine Learningの機能でした。 実際に試してみると、今までは出来なかった高精度な検知（スパイクの単位を極小化）が出来ました。

Machine Learning機能の活用により、従来では抽出に時間を要していた、短時間における アノマリ検知並びに少数データに対するアノマリの検知を瞬時に行うことができ、検知能 力の大幅な向上が出来ました。

ELK（Elasticsearch+Logstash+Kibana）自体は、数年前から情報の蓄積・検索目的に活用 しておりましたが、インシデントの抽出・分析基盤としての利用には重点を置いていませんでした。ただ本格的な利用検討を始める段階で、海外を中心にELKを使用しているセキュリティエンジニアも多く、国内での実績も増えてきたことが後押しになりました。

サブスクリプション契約することで、日本語でエキスパートから支援を受けることができ、 使い方から問題解決まで一通りサポートしてもらえることも大変プラスになっています。

今後は、X-Packに実装されているセキュリティ機能やアラート機能を実装予定で、かつセキ ュリティ分析官の新しい検知手法としてグラフ機能の利用についてもさらに使いこなしていきたいと考えています。

また、Machine Learning 機能については、不正行為の抽出を目的に、ユーザのアクティビ ティに関連するログについても分析対象とすることを計画しています。