マカフィーは4月9日、都内で記者会見を開き、不審な振る舞いを検知する「McAfee Behavioral Analitycs」と、セキュリティ運用機能を強化したSIEM(Security Information Management)の最新版「Enterprise Security Manager(McAfee ESM 11)」を発表し、販売を開始した。
冒頭、マカフィー シニアプロダクトマーケティングスペシャリストの中村穣氏は「早期発見・対応の実現には脅威対策ライフサイクルにおいて調査と分析のフィードバックが重要となり、相関分析を活用した検知の強化が用いられるようになっている。今後はより多くのログデータを使用する傾向が高まり、分析力の自動化と拡張性を伴う高速な検索が必要となる」と指摘した。
McAfee Behavioral Analyticsは機械学習を活用し、導入や運用負担を軽減しながら検知率を向上し、セキュリティ運用チームをサポートし、分析の自動化が図れるという。高度化・巧妙化するサイバー脅威に対抗するために、テクノロジーの積極活用によって限られたリソースで早期発見と早期対応の実現を支援するとしている。
また、ビッグデータセキュリティ分析と機械学習を活用し、複雑な設定や前提となる特別な知識を必要とせずに、組織内のセキュリティ脅威を発見できるという。また、数十億件規模の大量のセキュリティイベントを数百種類の異常に分類した上で、優先対応すべきリスクの高い脅威を可視化する。
機械学習を活用し、多種多様なユニークなノーマルを学習、細かい組み合わせで過去や類似行動をモデル化することで逸脱に着目する。特徴としては、細かい設定が不要な教師なし学習であるほか、Hadoop、Elastic、Apache Kafkaなどを活用し、大量データ想定のアーキテクチャとなっており、多様なデータが分析対象となる。
マカフィー シニアセールスシステムエンジニアの倉沢 陽一氏は「必ずしも特定のユーザーではなく、組織、会社と比較し、ノーマルなのか、アノマリなのかを判断する。機械学習により、過去のログから自動的に計算してノーマルなベースラインを構築するため、複雑な検知を可能としている」と説明していた。
拡張性と高速検索を可能にするMcAfee ESM 11
一方、McAfee ESM 11はMcAfee Enterprise Security Managerの最新版であり、拡張性と高速検索、パフォーマンス、連携機能の強化を目的として最適化された新しいデータアーキテクチャを活用。
データバスアーキテクチャの採用により、大量のセキュリティイベントを効率よく処理できるようになり、セキュリティ運用者や脅威ハンターは大量のセキュリティイベントを対象に、インシデントの調査やコンプライアンスのためのデータ保全を柔軟かつ効率化が図れるとともに、大量のデータを必要とする分析プラットフォームとの連携も向上させるとしている。
これまでの同製品のアーキテクチャはログデータを内部コンポーネント間で受け渡し、拡張の際には内部データの受け渡しが複雑になる傾向がある。昨今、ログは長期間保存に伴う高圧縮、調査のための高速検索の2種類の要件があるが、高圧縮では検索が遅くなるという。
中村氏は、最新版のアーキテクチャに関して「必要なコンポーネントが必要なデータを受け取るため、インタフェースがシンプルになっている。HAクラスタに関しては1つのかたまりを複数で構成することができ、パフォーマンスが向上している」と述べた。
同社では、最新のSIEMを基盤とした運用に加え、McAfee Behavioral Analyticsの分析機能を活用することで、セキュリティ運用チームによるデータの収集、解析、共有を効率化し、テクノロジーによる運用を支援するという。
McAfee Behavioral Analitycsのターゲットは、組織内に侵入小屋内部脅威に関する分析の自動化を促進し、運用メンバーのリソースを生産的な作業に割り当てたい企業、McAfee ESM 11はSIEMの活用範囲(処理対象のログ)を今後拡大し、導入後のデータ量の増加を見込み、拡張性とパフォーマンスを必要とする企業となる。
価格はMcAfee Behavioral Analitycsがユーザー数が5001~2万5000の場合に1ユーザーあたり8540円(1年あたり)となり、ソフトウェアライセンス(サブスクリプション)で提供する。また、McAfee ESM 11はアプライアンスと仮想版用ソフトウェアで提供している。