NTTデータグループがグローバルで導入、知見を生かした顧客提案も進める協業に取り組む

UEBA＋機械学習で成長する次世代SIEMのExabeam、CEOが強みを語る

2019年08月07日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp　写真● 永山亘

　今年（2019年）1月、NTTデータが次世代SIEMプラットフォームの新興企業である米Exabeam（エクサビーム）との協業を発表した。NTTデータでは、グループ全体のセキュリティ管理プラットフォームとして2018年10月から順次Exabeam製品の導入を進めている。そこで得られた知見を生かし、将来的にはExabeam製品を活用した高度なセキュリティコンサルティングや構築のサービスも顧客企業に提供していくという。

　2014年設立のExabeamは、2018年の「Gartner Magic Quadrant」SIEM部門でリーダーポジションに選ばれるなど、現在急成長している。日本市場では2016年からマクニカネットワークスを国内総代理店（ディストリビューター）として展開を進め、昨年12月には日本法人も設立した。今回は来日したExabeam 共同創設者でCEOを務めるニール・ポラク氏にExabeamが提供する次世代SIEMの特徴や市場戦略を、そしてNTTデータセキュリティ技術部長の本城啓史氏にExabeamの選択理由などを聞いた。

Exabeam（エクサビーム）は次世代SIEMプラットフォームを提供する新興ベンダーだ（画面はWebサイト）

米国Exabeam 共同創設者でCEOのニール・ポラク（Nir Polak）氏

NTTデータ技術革新統括本部システム技術本部セキュリティ技術部長の本城啓史氏

2014年の設立から“ヘルパー戦略”でSIEM市場に食い込み勢力を拡大

　Exabeamでは「Exabeamセキュリティマネジメントプラットフォーム（Exabeam SMP）」として、ログデータ収集を行う「データレイク」、UEBA（ユーザー行動分析）を含む「高度なアナリティクス」、インシデント対応の自動化やケースマネジメントを行う「オーケストレーション（SOAR）」の製品を提供している。この3要素は、市場における「次世代SIEM（モダンSIEM）」の要求とも合致する。

　特許技術を用いたUEBAなど機能面での強みはあるものの、SIEM市場はすでに競合ベンダーが多数ひしめきあい、新興のExabeamが簡単に入り込める市場ではなかった。そこで「“ヘルパー戦略”をとった」とポラク氏は説明する。

　具体的にはまず2015年、他社製品で構成されたSIEM環境に追加（連携）するかたちで、Exabeamがより高度なアナリティクスのコンポーネント（SIEMヘルパー）を提供開始した。つまりデータレイクやオーケストレーションの部分は他社製品のままで構わない、というわけだ。そうして企業への浸透を進めたのちに、SIEM環境全体をカバーするExabeam SMPへと製品を拡大した。これにより、SIEM環境全体を他社からリプレースすることが可能になった。

　「まずはSIEMの頭脳にあたるインテリジェンスの部分に入りこんで、既存SIEM環境のモダナイズを提案する。そのうえで、環境全体を他社からリプレースする提案へと移る。こうした戦略で急成長してきた」（ポラク氏）

まず“SIEMヘルパー”となるアナリティクス製品を提供し、2017年からはSIEM環境全体をカバーするプラットフォームへと製品を拡大した

　この“トロイの木馬”的な戦略は功を奏しているという。2018年のExabeam導入案件を見ると、既存のSIEM環境にExabeamを追加するかたち（SIEM Augmentation）が51％、SIEM環境全体をExabeamで置き換えるかたち（SIEM Replacement）が49％となっている。ポラク氏は、これまでArcsight、IBM、SplunkといったベンダーのSIEM環境をExabeamでリプレースしてきたと説明し、「今後もこの市場戦略は継続していく方針だ」と語る。

　なお現在、Exabeamの顧客企業は250社以上。業種別に見るとおよそ40％を金融サービスが占め、テクノロジー／メディア／テレコムが15％、ヘルスケアが10％程度だという。三菱UFJフィナンシャル・グループ（MUFG）の米子会社であるUnion BankもExabeamの導入顧客であり、UEBAを用いて社内ユーザーのふるまいを監視することで、クレデンシャルを入手した攻撃者による“なりすまし”攻撃、あるいは内部犯行による脅威への対策を図っているという。

ユーザー一人ひとりの「行動タイムライン」を生成し、機械学習で不審な行動を検知

　Exabeamが強みを持つのが、最初に提供を始めた「高度なアナリティクス」のコンポーネントであり、特にUEBA技術には定評があるという。さまざまなセキュリティ機器やシステムから収集したログを、自動的に特定のユーザーまたはデバイスに結びつけ、時系列で整理することにより「行動のタイムライン」を作成する。ここで対象とするログは、異常な行動（アラートなど）だけでなく正常な行動（アクセスログなど）も含まれる。

　「近年のサイバー攻撃は、企業内に侵入してもすぐにはデータを盗み出さず、時間をかけて徐々に侵入を拡大していく“スローな”攻撃に進化している。Exabeamではバラバラにあるジグソーパズルのピースをつなぎ合わせ、一人ひとりの行動タイムラインを作成する。これにより、攻撃者の行動を追いかけることが可能になる」（ポラク氏）

Exabeamのダッシュボード。左下には不審な行動をしている「要注意ユーザー」もリストアップされている

ユーザーごとの「行動タイムライン」（左）。不審な行動に対してはスコアが付けられている。「要注意ユーザー」の詳細画面（右）では、そう判断した理由が詳細に示される

　もうひとつ、ユーザー一人ひとりの行動タイムラインに機械学習技術を適用して、ふだんの行動（正常な行動）を自動的に学習する能力も備える。これにより、たとえば攻撃者がアカウントを乗っ取って攻撃を始めた場合も迅速に検出することが可能になる。IPアドレス同士の関係も加味し、たとえば「ふだん通信しないデバイス同士が通信している」といった異常も見つけるという。

　「クレジットカード会社が、カードの不正利用を検知するのと同じような仕組みだ。ふだんの購入金額や購入場所からかけ離れたものを不審な取引と判断するように、社員がふだんの行動と明らかに違うことをしていれば自動的に検出できる。特に、クレデンシャルを盗んでなりすましを図るような攻撃は人間には見抜きにくいが、機械学習ならば大量のログから検知することができる」（ポラク氏）

　脅威検知後のインシデント対応を管理、自動化するオーケストレーション（SOAR：Security Orchestration, Automation and Response）の機能も備える。ポラク氏は、セキュリティ業界ではスキル人材が不足しており、機械学習による自動判断も含めた自動化の仕組みに頼らざるを得ない現状もあると述べ、SIEMプラットフォームにそうした機能を組み込んだExabeam SMPの優位性を強調する。

脅威検出時に自動実行するプロセス（プレイブック）の設定画面。管理者の業務負担を軽減する仕組みだ

グローバルのSIEM環境統一、「月間750億件」のログを分析するNTTデータ

　NTTデータの本城氏はまず、ユーザー企業として同社がExabeam製品を導入した経緯を説明した。

　NTTデータグループは国内3万4500名、海外7万5500名（2019年1月時点）の従業員を持ち、グローバルに展開している。しかし「M&A（企業買収）を通じて拡大してきたため、買収した各社間のセキュリティレベルはまちまちであり、それを一定レベルに合わせていく必要があった」と本城氏は説明する。そこで現在は、統一のSIEM基盤としてExabeamを導入している。

　SIEMにおける課題は膨大なログデータの分析だったという。同社グループでは世界300カ所ほどでインターネット接続しており、しかもユーザー／デバイスとも年々増加していく中で、ゲートウェイで生成されるログは現在「月間750億件ほど」に及ぶという。この膨大なログを人間がチェックすることは不可能だ。

　「近年のセキュリティ対策では、ある程度は攻撃を受け、攻撃者に侵入される可能性があることを前提として、その後に続く不審な挙動をリアルタイムに検知し、いち早く対応することが大切になっています。そのために幾つかのUEBA製品を検討しました」（本城氏）

　Exabeamを選択した大きな理由は、機械学習により自動的にUEBAの分析や異常検知を行ってくれるからだったという。社内のユーザー一人ひとりがふだんどのような行動をしているのか、自動的に学習してくれるため、管理者が手をかけずに不審な行動だけをチェックできる。さらにもうひとつ、他社SIEM製品との比較においてはExabeamのライセンスモデルも優位性になったと語る。

　「他社では収集するログデータの量が増えるとライセンス料が上がるが、Exabeamはユーザー数に応じた課金となっており、これからさらにログの量が増えていっても問題ない。分析対象とするログは多ければ多いほうがいいので、そこもExabeamを選んだ理由のひとつだ」（本城氏）

　NTTデータグループでは昨年10月からExabeamの導入を始め、今年4月からはグローバルに60台のアプライアンスを設置して運用を開始、現在はチューニングを行っている段階だと述べた。ちなみにExabeamで統一する前のSIEM環境は各社／各拠点でばらばらであり、トレーニングを積んだ専門性の高いエンジニアしか運用できなかったため「とにかく運用が大変で、苦労していた」と振り返る。