大量ログデータを収集/分析するデータ基盤のコストパフォーマンスを向上、今後はAI活用も
テラデータとラックが協業、JSOCサービス基盤に「Teradata VantageCloud」採用
2024年03月25日 11時00分更新
日本テラデータは2024年3月25日、セキュリティサービスベンダーのラック(LAC)との協業を発表した。ラックが提供する大規模プライベートSOC「JSOC(Japan Security Operation Center)」サービスのデータ収集/分析基盤のひとつとして、テラデータのAI向けクラウドデータ分析基盤「Teradata VantageCloud」を採用し、サービスの高度化を図る。さらにJSOCサービスの販売面でも協力する。
日本テラデータ 執行役員 I&C事業部長の坂 義実氏は、「40年以上に渡ってデータを取り扱ってきた日本テラデータと、サイバーセキュリティの第一人者であるラックが手を組んで、大量のデータとAIを活用することで、巧妙化し、増加の一途を辿るサイバー攻撃への対策水準を、一段、二段と高めることを目指す」と、本協業にたいする期待を述べた。
ラックのSOCシステム全体像と「Teradata VantageCloud」の採用部分(赤枠部分)
日本テラデータ 執行役員 I&C事業部長の坂 義実氏(左)、ラック セキュリティオペレーション統括部 JSOC先端監視推進部 部長の飯田浩司氏
1日数十億件のログデータを収集、分析するデータ基盤に「VantageCloud」採用
ラックでは、これまで20年以上にわたってJSOCサービスを提供しており、現在、およそ1000社の契約クライアントがいるという。顧客所有のファイアウォールなどから収集される1日あたり15~20億件規模のログデータは、セキュリティアナリストが24時間365日体制でリアルタイムに監視/分析し、誤情報や過剰検知情報を取り除いたうえで、必要な情報を提供するとともに、対処方法も提案している。
ラック セキュリティオペレーション統括部 JSOC先端監視推進部 部長の飯田浩司氏は、「(JSOCサービスが収集する)1日あたり数十億件のログデータのうち、被疑(攻撃が疑われるもの)は数千件程度、通知対象(実際の攻撃と判断するもの)は数百件」だと紹介したうえで、正確な絞り込みを行ったうえで情報できる点が、ラックの「強み」だと語る。
セキュリティ監視サービスは、毎日莫大な量のログを収集、分析し、本当に通知が必要な情報だけに絞り込む「砂漠の中から砂金を見つけるような作業」だという
こうした大規模なサービス提供の基盤となっているのが、ラックが独自に開発したセキュリティ監視/運用システム「LAC Falcon」だ。大きく分けて「収集・検出サブシステム」「分析サブシステム」「管理サブシステム」の3つで構成されており、今回、Teradata VantageCloudが採用されたのは「収集・検出サブシステム」の部分だ。
飯田氏によると、収集・検出サブシステムは、クライアントのセキュリティ装置から大量のログを集め、高速なデータ処理によって精査すべきログを選定できるという。ただし、これまではデータ基盤に採用してきたセキュリティ分析専用の非構造型データベースは、流入データ量に応じた課金体系であるため、ログデータの増大によってコストパフォーマンスが低下していた。
「今後、ログデータ量はますます増加していくだろう。だが、それに伴って増加するコストを、クライアントの利用料金に転嫁することはできない。加えて、サイバー攻撃の手法が変化することで新たなセキュリティ機器の導入も進むが、そうした変化に迅速に対応できなければ、(JSOCの)検知能力の限界にもつながってしまう。こうした課題に対応できる製品として、Teradata VantageCloudを採用した」(飯田氏)
Teradata VantageCloudは、サイロ化したさまざまなデータソースを仮想的に一元化し、簡単にアクセス/分析できるようにするクラウドデータ分析基盤だ。データレイク、レイクハウス、データウェアハウスといった複数のデザインパターンをひとつのプラットフォームで提供できるほか、超並列処理技術によって大量のデータを高速に処理する能力も持っている。
さらに、アナリティクスのパイプラインにAI/機械学習を組み込める「ClearScape Analytics」を活用することで、セキュリティ監視業務においてもより高度な分析が実現できるという。テラデータの坂氏は、そのほかにもデータ量に依存しないライセンス(課金)体系であること、マルチクラウド(AWS、Azure、Google Cloud)環境で柔軟に稼働することなどの優位性を紹介した。
Teradata VantageCloudのアーキテクチャ
「急なシステム増強も短期で対応、優秀なエンジニアも心強い」と評価
ラックでは、LAC Falconの収集・検出サブシステムを、Teradata VantageCloudを中心に据えて、4種類のサーバー群で構成している。収集したログデータのキューイングと、データ量の平準化/流量制御を行ったうえでVantageCloudに格納し、自動検索やアナリストによる検索に利用している。飯田氏は、このシステムは「半年間で構築し、半年で実装した」と語る。
「(Teradata VantageCloudならば)急なシステム増強にも短納期で対応できるというメリットも実感した。処理が高速であるため、日々、大きく変化するサイバー攻撃への対応が可能であり、顧客が使いやすいサービスが提供できる。AI機能を活用し、JSOCの持つノウハウをより多くの企業に、使いやすい価格で提供していくことも目指したい」(飯田氏)
Teradata VantageCloudを採用したSOCサービスはすでに本番稼働しており、AI機能については2024年4月以降に、サービスに組み込んで提供を開始するという。
収集・検出サブシステムの構成
また、テラデータに対する評価として飯田氏は、「日本テラデータには質の高いエンジニアが揃っており、海外本社に問い合わせることなく迅速な対応が可能だった。24時間365日のSOCサービスを提供しているため、土日や深夜に障害が発生した際も心強い」と述べた。実際、SOC利用者が数百GBのSQLクエリを発行してVantageCloudが無応答になってしまったことがあったが、日本テラデータのサポート部門との連携によって迅速に復旧できたという。
一方で、これまでの非構造型データベースの検索文をそのまま移植するとパフォーマンスが出ず修正が必要だったこと、小さなサイズの複数回答録でもパフォーマンスが出なかったためデータサイズを平準化する処理を追加したことなども紹介した。「運用しながら改良を加えて、パフォーマンスも改善し、現在は安定している」(飯田氏)。
なお、日本テラデータとラックでは、Teradata VantageCloudを活用したJSOCサービスの販売においても協業することを発表している。両社が共同で営業/マーケティング活動を展開する予定。販売目標などについては公表していない。
