日本テラデータとラックは3月25日、セキュリティ分野において協業を開始することを発表した。これに先立ち、両社は記者説明会を開催。ラックが提供するプライベートSOC(Security Operation Center)向けセキュリティ監視サービスのデータ収集および分析基盤の一部に、クラウドデータ分析基盤「Teradata VantageCloud」を採用し、両社はサービスの高度化や拡販で協力する。

テラデータのデータ分析基盤「Teradata VantageCloud」の強み

Teradata VantageCloudはAI(Artificial Intelligence:人工知能)やML(Machine Learning:機械学習)向けのデータ分析基盤。データレイクからレイクハウス、データウェアハウスまで一つのプラットフォームで実現可能だ。

GCP(Google Cloud Platform)やAWS(Amazon Web Services)、Microsoft Azureなど主要なクラウドベンダーに対応し、柔軟なデータ分析を支援する。

日本テラデータの執行役員を務める坂義実氏はラックとの協業にあたって、「当社のTeradata VantageCloudは多量のデータを高速にさばく際に、料金を他社ソリューションよりも低く抑えられる利点がある。高度なアナリティクスを安価に提供することで、サイバーセキュリティの脅威からラックのお客様を守る支援をしたい」と意気込みを語っていた。

  • 日本テラデータ 執行役員 I&C事業部 事業部長 坂義実氏

    日本テラデータ 執行役員 I&C事業部 事業部長 坂義実氏

約20億件のログ情報を扱うラックのセキュリティ監視サービス{#id2}

ラックによるセキュリティ監視・運用サービスの拠点「JSOC(Japan Security Operation Center)」においては、約1000の契約クライアントからの1日当たり約15億~20億件を越える膨大なログをリアルタイムに監視し分析しているそうだ。

JSOCでは顧客のセキュリティ装置のログを監視して、誤情報や過剰検知情報などを取り除いた上で顧客企業が本当に必要な情報のみを提供する。1日数十億件のログを収集して、セキュリティ監視システムにより数万件のログを解析。アナリストが解析するのはそのうち数千件。顧客へ実際にアラートや対処方法を通知するのは、月に数件程度とのことだ。

サイバーセキュリティの脅威は時間を問わず、膨大なログの中から本当に必要な情報を絞り込む作業であるため、「砂漠の中から砂金を見つけるような作業」にも例えられる。

  • セキュリティ監視サービスが扱うログ件数のイメージ

    ラックのセキュリティ監視サービスが扱うログ件数のイメージ

近年はセキュリティ装置が多様化していることに加え、内部情報の漏えいを防ぐために入退室ログや複合機のログなど、扱うデータも増えている。これらのログ情報は顧客の規模や機器の設置場所、曜日や時間帯によっても大きく変化する。さらにレコードサイズの大きなログなども混在し、サイズの異なるログを多量に迅速に処理する性能が求められているとのことだ。

  • セキュリティ監視サービスが扱うログは多様化している

    セキュリティ監視サービスが扱うログは多様化している

なぜ、ラックはTeradata VantageCloudを導入したのか

ラックがJSOCで培ったノウハウを活用して開発した独自のセキュリティ監視システムが「LAC Falcon」である。同システムは、顧客から得られる多量のログを収集し検出するサブシステム、それらのログを分析するサブシステム、また管理するサブシステムの3つのサブシステムから構成される。今回、このうち最も負荷が高い収集・検出サブシステムにTeradata VantageCloudを採用した。

Teradata VantageCloudはサイロ化したさまざまなデータソースを仮想的に一元管理し分析できるよう設計され、データ統合と管理を支援する。これにより、LAC Falconはリアルタイムにより多くのログを取り込み、監視できるようになったとのことだ。

  • LAC Falconのサブシステム構成

    LAC Falconのサブシステム構成

ラックでJSOC先端監視推進部の部長を務める飯田浩司氏は「収集・検知サブシステムは多くのデータを扱う必要があるため、データ量に依存するライセンスでは提供できない。本来は安全性を高めるために多量のログを監視すべきなのに、価格の観点から監視するログ量を絞らなければいけないのは本末転倒である。Teradata VantageCloudは他社の分析エンジンと比較して多量のデータを処理する際のコストベネフィットで優位となった」と、導入の背景を語っていた。

また、日々更新されるサイバー攻撃の手法に応じて検出条件を追加できる柔軟性も、導入に至る大きな要因となったそうだ。

  • ラック セキュリティオペレーション統括部 JSOC先端監視推進部 部長 飯田浩司氏

    ラック セキュリティオペレーション統括部 JSOC先端監視推進部 部長 飯田浩司氏

飯田氏はTeradata VantageCloudを導入しこれまで運用してきた良かった点として、日本テラデータにエンジニアがそろっており、1日数十億件のリアルタイムデータ処理にもかかわらず迅速な対応が可能だった点を挙げた。利用初期に、数百ギガバイトのSQLクエリを発行してシステムがフリーズしかかった際にも、日本テラデータ側のエンジニアとサポート部隊が連携して数時間以内に復旧できたそうだ。

反対に苦労した点としては、同社が従来使用していた非構造型のDBMS(DataBase Management System)の検索分をそのまま移植してしまったために、大量のあいまい検索で性能を発揮できなかった点を挙げていた。

「Teradata VantageCloudはシステムの稼働が高速なだけでなく、サイバー攻撃手法など環境の変化に対しても柔軟に対応可能。日々変化し巧妙化するサイバー攻撃に対し迅速に対応できるサービスをお客様に展開したい。加えて、Teradata VantageCloudが持つAI機能に当社がJSOCで培ったノウハウを組み合わせることで、より高付加価値なセキュリティサービスにつなげられたら」と、飯田氏は語った。

  • ラックの今後の展望

    ラックの今後の展望