日本IBMは2014年2月26日、ビッグデータ分析と専門家の知見によるセキュリティ支援サービス「IBM Managed Security Information and EventManagement(IBM Managed SIEM)」を発表した。3月18日より提供が開始される。
高度化・巧妙化するインターネット・セキュリティの脅威への対策として、ビッグデータ分析を応用した対策サービス・製品に注目が集まっているが、分析結果に基づく適切なアクションのためには、専門家の高度なセキュリティ知識・ノウハウも欠かせない。IBM Managed SIEMは、そうした背景から生まれた、企業でのインシデント・レスポンス体制構築・運用を支援するセキュリティマネージドサービスである。
IBM Managed SIEMは、その名称のとおり、SIEM(セキュリティ情報イベント管理)を主体としたサービスで、技術ベースにIBMが開発した、SIEM対応のセキュリティインテリジェンスソフト「IBM Security QRadar(キューレーダー)」を採用している。同ソフトがユーザー企業・組織のIT環境にIBM Security QRadarを導入し、膨大なセキュリティ関連情報への相関分析で得られた結果に対して、IBMのセキュリティ専門家が脅威の検出やインシデントリスクの優先順位付けを迅速に行う。これにより、ユーザー企業・組織のCSIRT(Computer Security Incident Response Team:コンピュータセキュリティ緊急対応チーム)がそれぞれの局面に最適なセキュリティ対応を適切に行えるようになるという仕組みだ。
IBM Managed SIEMの利用にあたっては設計・導入フェーズと運用フェーズの両フェーズにおいて以下の支援・技術提供がなされる。
■設計・導入フェーズ
現状のユーザー企業の環境の評価を行い、インシデント・レスポンスを行う上で最適なシステムの設計および構築を支援する。
■運用フェーズ
さまざまなセキュリティ脅威情報やシステム内のログ情報などを情報ソースとして、ログ、ネットワークフロー、脆弱性情報、ユーザー情報、アセット情報などのデータ分析を行い、これらの相関関係分析も実施。この段階で、IT環境上での異常なふるまいの検出や、危険性の高い脅威の発見が可能になる。加えて、システム脆弱性や優先度の高いインシデントの検出を行い、ネットワーク、アプリケーションおよびユーザー・アクティビティの可視化、脅威の追跡、問題発生の予兆検知を実現する。ログを統合管理することにより、複数システムに跨った横断的な状況把握が可能となり、問題発生後の対応を最適化されたかたいで迅速に行える。
IBMは、全世界10カ所で展開するセキュリティオペレーションセンター(SOC)において、130カ国以上の国・地域の顧客のシステムに対し、1日200億件を超えるセキュリティ・イベントを分析している。IBM Managed SIEMの提供にあたって同社は、SOCでの実績や同社の研究開発部門でのナレッジといったグローバルレベルでの知見・ノウハウをアピールしている。