日本IBMは6月8日、新しいセキュリティスイートのサービス「IBM Security QRadar Suite」を発表した。新サービスは、オープンな基盤上に構築されるハイブリッドクラウドの需要に特化した設計とし、すべての製品をまたがるユーザーインタフェース(UI)を特徴としており、AIと自動化機能が組み込まれている。
IBM Security QRadar Suiteは、4月に開催されたセキュリティイベント「RSA Conference」に合わせて、IBMが発表し、すでに提供を開始している。同サービスは、エンドポイントセキュリティ(EDR、XDR)、セキュリティ情報とイベント管理(SIEM)、セキュリティのオーケストレーション・自動化による対応(SOAR)、新しいクラウドネイティブのログ管理機能を備え、共通化されたUI、インサイトの共有、ワークフローの連携を実現するという。
可観測性とセキュリティ運用の改善が必要
日本IBM 執行役員 セキュリティー事業本部長の小川真毅氏は「クラウド移行とITモダナイゼーションにより、攻撃対象が拡大するとともにセキュリティ自体の複雑さも増しているため、可観測性が重要になりつつある。また、可視性の欠如や複数ツールの存在、未熟な運用プロセス、情報が多すぎることから、セキュリティの運用には改善が必要だ」と指摘。
こうした状況をふまえ、同氏は昨今のセキュリティ運用の特徴はテクノロジーを重視し、エキスパートとヒーローへの依存、独自のエコシステムだが、最新のセキュリティ運用は「アナリスト重視」「専門知識とAIによるスケーリング」「コミュニティとの連携」が求めらているという。
そこで、新サービスの提供を開始する。日本IBM セキュリティー事業本部 テクニカル・セールス部長の赤松猛氏は、新サービスについて「セキュリティアナリストが効率よく動けるようにするには、どうしたらいいのかということを中心に考えて、開発した」と経緯を説明した。
新サービスは、「Unified Analyst Experience(UAX)」と呼ぶコンポーネントを中核に「QRadar EDR、XDR」「QRadar SIEM」「QRadar SOAR」、そしてログ管理を行う「QRadar Log Insights」の各機能を提供する。
Amazon Web Services(AWS)上でサービスとして提供され、クラウド環境とデータ・ソースにまたがる展開、可視化、統合を簡素化することができるという。
これまで同社では、脅威インテリジェンス製品としてEDR、SIEM、SOARなどを内包した「IBM Qradar XDR」と、EDRソリューション「IBM Security ReaQta」を提供してきたが、これらを統合的に利用するためには接続ツールとして「XDR Connect」の利用が前提となっていた。
赤松氏は「その点、新サービスは中身を進化させてスイートのどこでも使えるような共通のコンポーネントとしてバンドルして提供する。脅威対策を行うすべてのエリアに手が届くような形で、IBM Qradar XDRとIBM Security ReaQtaをまとめ直した」と述べた。
共通のUIを持つ「Unified Analyst Experience」
新サービスの肝となるのがUAXとLog Insightsだ。UAXは、アナリストの意見にもとづいた設計にしており、従来は複数ツールによるUIだったが、これらを結合させて単一のUIで提供することで、各ツールの習熟に要していた時間を短縮するとともに、調査も自動で行う。
すべての製品で共通のUIを備え、攻撃全体にわたってアナリストのスピードと効率を劇的に高めることができるよう設計されており、実証ではアラートの調査とトリアージを平均55%高速化することを確認しており、AIおよび自動化機能が組み込まれている。
また、調査の際も脅威防止、検出インテリジェンス、AIにより、ほぼリアルタイムに脅威を検出して対応できることに加え、AIの活用でリスクの信頼性、関連性、重大度にもとづいて精度の高いアラートを調査・優先順位付けする。これにより、正確なインサイトを素早く取得し、自動化されたインテリジェントな検出と対応でSOC(Security Operation Center)の効率化が図れるという。
さらに、Federated Search(統合検索)によるオープンなアプローチにより、元データの保管場所にアクセス、または必要に応じて集約できる柔軟性を有している。オープンな基盤、広範なパートナー・エコシステム、IBMとサードパーティーのツールセット間で相互運用性を提供する900以上の実装済み統合機能を中心に構築されている。
クラウドスケールの「QRadar Log Insights」
Log Insightsはクラウドネイティブの新しいログ管理およびセキュリティ可観測性ソリューション。クラウドスケールの収集により、必要なデータを一カ所に取り込むことを可能とし、サードパーティのデータストアへのデータソース接続で可視性を向上させる。
直感的なクエリ言語とデータウェアハウスで脅威の検出と滞留時間を短縮し、すぐに利用できるダッシュボードやウィジェットでリスクベースの優先順付け、データソースの健全性指標を視覚化し、最初に着手する場所を理解できる。
加えて、Federated Searchや調査とあわせ、費用対効果の高いセキュリティログ管理を実現できるように設計されている。
ただ、QRadar Suiteでも統合されたUIでの管理は可能だが、Log Insightにもダッシュボードを搭載している。
その点について、赤松氏は「もちろん、QRadar Suite全体でも可視化の重要性はあるが、Log Insightsの狙いはSIEMを不要とするお客さまに対して、セキュリティ対策、ログ収集のために提供する。Log InsightsとQRadar SIEMは用途を絞りつつ提供するが、状況によってはLog InsightsとQRadar SIEMの連携もできるようにしていく」と説明している。
「QRadar EDR、XDR」など、そのほかのサービス
一方、QRadar EDR、XDRは自動化や数百の機械学習および行動モデルを使用して振る舞いの異常を検出し、ほぼリアルタイムで攻撃に対応することで、未知のゼロデイ脅威から企業のエンドポイントを保護する。
また、OSを外部から監視するアプローチを採用し、攻撃者による操作や干渉を回避し、エンドポイント以外にも検知・対応能力の拡張を求める企業向けに、ネットワーク、クラウド、Eメールなどにまたがるアラート相関、自動調査、推奨対応を備えたXDRやMDR(Managed Detection and Response)も提供している。
QRadar SOARは、インシデント対応ワークフローの自動化とオーケストレーションを支援し、特定のプロセスが一貫して最適化され、測定可能な方法で実行されるようにする。300の統合機能があらかじめ用意され、180以上の世界的なデータ漏えいやプライバシーに関する規制に対応するプレイブックをすぐに利用することができる。
QRadar SIEMは、広範なセキュリティー運用ツールセットに共有インサイトとワークフローを提供する、統一されたアナリストインタフェースを新たに搭載。
AI、ネットワーク、ユーザー行動分析、アナリストにより正確で文脈に沿った優先順位の高いアラートを提供するために構築された実世界の脅威インテリジェンスを活用した、リアルタイム検知を提供する。今後、2023年第2四半期末までに同サービスをAWS上でサービスとして利用できるようにする予定だ。なお、各サービスは個別でも購入できる。