「ハイブリッドSOC」を運用する
ＪＲ東日本情報システム

セキュリティ監視に精通したベンダーと連携

膨大なシステムとデバイス数、限られた人員と体制という課題を解決し、最適なSOC運用を実現するために、同社はベンダーと協業してSOC を運用する方法を検討しました。「セキュリティ監視・運用の全てを委託するのではなく、お互いの強みを活かした『ハイブリッドSOC』を目指しました。具体的には、インターネット境界における監視と分析、インシデントの予兆を検知した際の通報をベンダーに依頼。通報を受けた後の対処は私たちやグループ会社で行うという役割分担です」と関口氏は説明します。

同社は複数のベンダーの提案を比較し、最終的に「CACTAS(Cisco Advanced Cloud Threat Analytics Service)」というサービスによってハイブリッドSOCを共に運用するシスコの提案を採用しました。

「多種多様なシステムは、様々なベンダーの製品やサービスで構成されていますが、シスコは『どんな機器やサービスにも対応する』と約束してくれました」と関口氏。また、脅威インテリジェンスとの連携、ログ収集、分析、通報を統合的に対応可能なことも評価しました。

CACTASの分析精度の高さに驚き

シスコは、CACTASによってJR東日本グループの多種多様なシステムのセキュリティを24時間365日体制で監視しています。「分析の精度が高く、軽微な兆候に必要以上に振り回されたり、重大な兆候を見逃してしまったりという事象はこれまでにほとんどありません」と関口氏は強調します。

また、同社はシスコのサポートの幅広さや柔軟な対応も高く評価しています。「サイバー攻撃の最新動向をアナリストがレポートにまとめたり、インターネット上に拡散しているJR東日本グループに関する情報を収集して、なんらかの危険を感じたら注意を促したり、SOC監視の枠を超えて、私たちのセキュリティ業務をサポートしてもらっています」と関口氏は述べます。

同社は、クラウドシフトが進む新しいシステム環境の安全性を高めるためにもシスコ製品を積極的に活用したいと考えており、シスコとの間でEA（Enterprise Agreement）を提携し、より連携を深めています。「これらを総合的に活かし、現在、エンドポイントセキュリティサービスであるJRE-ESSの機能強化をシスコと共に行っています」と関口氏は述べました。