IBMのSecurity QRadarをコアにセキュリティ対策の新たな枠組み - "ジャパン・エコシステム"

日本IBMは、「IBM Security App Exchange ジャパン・エコシステム」の結成を発表した。

まずコアとなるのは、IBMのSecurity QRadarである。これは、セキュリティ情報とイベント管理(SIEM)、ログ管理、異常検出、インシデント・フォレンジック、脅威への対応やぜい弱性の管理を行うソフトウェアである。IBM Security App Exchangeでは、Security QRadarのAPIを公開し、ビジネスパートナーや開発者が独自の機能を追加し、カスタム・アプリケーションとして提供する。これらのアプリケーションは、IBMのマーケットプレイスに公開され、利用者は自由にダウンロードができる。今回、このコラボレーションに参加したセキュリティベンダーもその概要を発表した。

ジャパン・エコシステムの開始について

まずは、日本IBM 執行役員セキュリティー事業本部長兼CISOの志済聡子氏が登壇した。IBM Security App Exchangeは、グローバルにおいて、2015年12月に発表されたものである。14社が参加し、65種類のQRadar関連のアプリケーションが公開されている。

上述のようにセキュリティ・アナリティクス製品のSecurity QRadarのプラグインとして提供される。それらをユーザーが無料で利用できる仕組みである。グローバルでは、6,000回を超えるダウンロードを記録している。サイバー攻撃の巧妙化・複雑化は、日を追うごとにそのような脅威に対し、単独の企業だけでなく、官民の垣根をも越えて対応していく必要がある。つまり、企業が連携し、集団防衛を行うコンセプトだ。IBMだけでなく、さまざまなパートナーとコラボレーションし、共同でエコシステムを構築する。その結果、セキュリティ対策へのケーパビリティを高めていくことを目標としている。

今回、ジャパン・エコシステムの結成であるが、いくつかの目的がある。まずは、海外で一定の評価を受けるソリューションを日本のユーザーにも使ってもらうことをあげた。そして、日本のセキュリティベンダーが世界へ発信していく、あるいはマーケットを世界に広げていくきっかけとなればとのことだ。

すでにグローバルのIBM Security App Exchangeに参加しているCarbon Black、サイバーリーズン、Exabeam、ファイア・アイが、初期メンバーとしてジャパン・エコシステムに参画する。日本からは、トレンドマイクロが参画する。

今後の協業内容であるが、まず、パートナーへのスキル修得支援を行う。具体的には、テクニカルサポート、スキル認定プログラムの推進などを行う。ビジネスとして成長ができるように、定期的な協業会議なども開催される。共同マーケティング活動では、IBMグローバル主催のWebセミナーへの参加、グローバルパートナーとともに協業体制を深めていく案などが示された。

Carbon Black Response App for IBM QRadar

最初に紹介されたのは、Carbon Black社のカスタムアプリである。同社はエンドポイントの脅威検知、そしてそのレスポンスを行うソリューションを提供している。最近では、Cb(Carbon Black)プロテクション機能の上に、IBMのマネージメントサービス(管理されたセキュリティサービス)を提供するソリューションを発表した。QRadarとの連携によって、1つのウィンドウで、対策・治療・修復を自動で行うことができる。

Cybereason

続いて、サイバーリーズン社のCybereasonが紹介された。まずサイバーリーズン社であるが、ちょっとユニークな機能と経歴を持つベンダーである。一般的なソリューションでは、外部からの攻撃に対し、企業内のネットワークへの侵入を防ぐことが第一となる。しかし、サイバーリーズン社の製品はそのような機能を持ち合わせていない。では何をするか？

万が一、侵入や感染を許してしまった場合、潜伏期間中のウイルスの動きを可視化し、被害発生前に対策を行うというものである。創業者は、イスラエル軍でハッキングオペレーションを行っておりハッキングする側の設計図や思想にも強い。QRadarとの連携によって、より付加価値の高いソリューションを提供していきたいとのことである。

Exabeam User Behavior Analytics

Exabeam社では、ユーザー挙動分析(UEBA)をメインにするソリューションを展開する。やや耳慣れない言葉であるが、その仕組みを簡単に紹介しよう。標的型攻撃では、必ずといっていいほど、正規ユーザーの認証情報が悪用される。アカウントの乗っ取りやなりすましである。また、内部ユーザーによる悪意を持った攻撃もある。そこで、求められるのはユーザーの挙動の監視である。

Exabeam社では、Stateful User Trackingという独自エンジンを使い、QRadarのログをユーザーの視点から分析する。まず、ユーザーの日常の活動をモデル化する。そして、日常の行動と異なる挙動を自動で判別し、リスクスコアを算出する。これにより、なりすましや内部犯行を速やかに特定できるようになる。

FireEye iSIGHT Intelligence

FireEyeは、アプライアンスの提供などを行う一方、年間数百件の大規模インシデントへの対応を行っている。そこから実際の被害手順(侵入経路や方法)など対策に有益な情報を蓄積している。また、世界各地へ捜査員を派遣し、それぞれの地域で作成される新しいマルウェアなどの情報も蓄積している。

これらFireEyeが保有するインテリジェンス情報を活用し、膨大なログやアラート情報から、誰が行っているのか？背後に誰がいるのか？といった情報をQRadarのコンソール上に表示する。かつての典型的なウイルスのようにPCが自動的に攻撃を行うことは少ない。必ず背後に人が存在すると考えて良い。誰が、何をしているかを知ることは、対策として非常に重要であると指摘する。

Trend Micro Analysis Rule Set for Deep Discovery Inspector

最後に登場したのは、トレンドマイクロである。巧妙化・高度化するサイバー攻撃に対し、出口・入口対策、さらにはエンドポイントのウイルス対策だけでは十分とはいえない。トレンドマイクロでは、悪意を持ったアプリやモジュールがPCに侵入してしまった場合、被害が発生する前にその動きを検知する技術として、Deep Dicovery Inspectorを提供している。

しかし、ユーザーからいくつかの課題も見え始めている。複数のセキュリティ対策を施すと、多種類で膨大な量のログが保存される。しかし、その分析には多大な手間と時間がかかる。さらには、これらのログから、どう管理・運用を進めていくのかがポイントになる。

そこで、Deep Discovery InspectorとQRadarとの機能的接続だけでなく、ユーザーが運用する際のカスタムルールを作成し、効果的な運用ができるようにした。ユーザーの視点で、技術だけでなく、実際の運用、監視などへの支援を両社でしっかりと提供していくとのことである。

質疑応答でいくつか興味深い発言もあった。まず、ジャパン・エコシステムの適用範囲について、志済氏は「かつては攻撃対象ではなかったデバイス(POSレジ端末やATM)が攻撃対象になりつつある。こういったニーズも発生するだろう。また、故意、過失にかかわらず内部からの犯行にどう対応していくかも課題である。これらに対応するにはQRadarだけでなく、さまざまな知見を持ったベンダーとの協業がかかせない。IBMのように包括的に製品を提供する会社であればあるほど、新しい脅威には自社・他社を問わずソリューションを提供することが求められる」と述べた。

また、大量のログや警告から、いかに的確に脅威に直結する警告を見つけ、対策をとれるか？がポイントになるとの指摘が多かった。結果として、対応までの時間短縮が達成され、被害を最小限に抑えることが可能となる。今後、ジャパン・エコシステムでは、それぞれのベンダーが得意な手法を使い、多様なニーズへの対応が期待されるだろう。