「QRadar」を活用し、専門家が脅威検出やリスク優先順位付けなどを実施
IBM、高度なセキュリティ支援サービス「Managed SIEM」発表
2014年02月27日 06時00分更新
「Security 3.0」へ、さらにSIEMへとスコープが深化
記者発表会で日本IBMの佐藤功陛氏はまず、SIEMという概念について説明した。SIEMは、さまざまな情報ソースから発生するイベントログを一元管理するSIMと、セキュリティ脅威に対するリアルタイム検知/インシデントハンドリングを行うSEMとを組み合わせたものだ。
日本IBM グローバル・テクノロジー・サービス事業 Tokyo SOC技術担当部長(CTO)、佐藤功陛氏
SIEM=SIM+SEMであると佐藤氏は説明した
そのうえで佐藤氏は、ネットワークセキュリティにおけるスコープの「深化」を、4つの段階に分けて説明した。
まず第1段階の「Security 1.0」では、ファイアウォールやIDS/IPS、UTMといった、セキュリティ製品単体での運用監視が行われる。これが高度化し、複数のセキュリティ製品が発する「アラート」レベルの情報をSOCがとりまとめ、検知や分析を行うのが第2段階「Security 2.0」だ。
ただしここまでの段階では、あくまで「アラート」として脅威が可視化された後の「事後的な」対応になる。そのため、たとえば攻撃の兆候を事前に察知したり、マルウェア感染後の二次的な挙動(漏洩情報の特定など)までを追うことは難しい。
そこで、セキュリティ機器から取得するログイベントを拡大し(「アラート」だけでなく「インフォメーション」レベルのログも取得し)、攻撃シナリオを想定しながら、膨大な数の複数イベントの相関を分析していく必要が出てくる。これを実施するのが「Serucity 3.0」段階だと、佐藤氏は説明する。
この相関分析の対象として、セキュリティ機器以外(ネットワーク機器、サーバー/アプリケーション、認証機器など)のイベントログも追加し、インシデントハンドリングを支援する段階が「Security 3.0+SIEM」である。Security QRadarはこのSIEM製品であり、Managed SIEMはこれをマネージド型で提供するサービスとなる。
「Security 3.0」にSIEMを追加することで、現在問題となっている標的型攻撃や未知の攻撃への対策もより強固に行える
なお、Managed SIEMの運用開始までには、顧客との要求定義から導入、運用まで5つのステップがある。すべての工程を専任担当者が「顧客に張り付いて」支援するため、運用開始後にもより踏み込んだアドバイスができるのがIBMならではの特徴だと、佐藤氏は説明した。
Managed SIEMの運用開始までの流れ。運用開始までにはおおよそ「5カ月程度かかる」(佐藤氏)
なお、運用フェーズ以後のManaged SIEM利用料金の目安は、月額349万円(税別、100台の各ログソースから10件/秒のイベントが出力される場合)となっているが、運用以前の設計や導入などのステップは個別見積もりとなっている。
IBMによれば、Managed SIEMはカナダ最大の銀行での採用事例が公表されている。また国内でも金融、製造、公共、流通といった業種の顧客から、またSecurity QRadarを導入済みの顧客からの引き合いがあるという。
