マカフィーは2018年4月9日、マシンラーニング(機械学習)によってログを分析し、通常とは異なるセキュリティ上のリスクを発見するソフト「McAfee Behavioral Analytics」を発表した。2018年4月9日から提供する。価格(税別)は1ユーザーあたり年額8540円(5001~2万5000ユーザーの場合)。
McAfee Behavioral Analyticsは、複数のログを取り込んで分析し、社員による情報漏洩行為などのセキュリティリスクを可視化するソフトである。勤務時間外の作業やファイルコピー量の増加など、いつもと異なる振る舞いをリスクと捉える。同一人物の過去の行動と比較するほか、同一部署の他の人との比較や組織全体との比較も行う。
拡大画像表示
セキュリティリスクを早期に発見するためには、より多くのログを取り込むことや、これらのログの相関分析などが有効である。一方で、「分析するログを増やしたり、リスクを発見するためのルールを細かく設定したりすると、運用の手間がかかる。データ分析の自動化が求められている」(マカフィー)という。
拡大画像表示
McAfee Behavioral Analyticsでは、教師なしタイプの機械学習によって、手間をかけずにデータを自動で分析できる。通常時の状態を学習してモデルを作成することによって、通常時と異なる振る舞いを検知できるようにした。学習期間として、「1カ月くらい運用すればリスクが見えてくる」(マカフィー)という。
ログは、生ログファイルを取り込んだり、セキュリティログを管理している外部のSIEM(セキュリティ情報およびイベント管理)製品と連携してデータを得たりなど、様々な方法で入手できる。McAfee Behavioral Analytics自身は、データを格納/処理するエンジンとして、HadoopやKafkaなどを含んでいる。
SIEM新版は、Kafkaデータバスと分散DBで拡張性を向上
2018年3月27日には、SIEMアプライアンスの新版「McAfee Enterprise Security Manager v11」(McAfee ESM 11)の提供も開始した。価格(税別)は、仮想アプライアンス版の場合、ESM本体が524万4000円、必須コンポーネントであるMcAfee Event Receiver(ERC)が149万7500円。
拡大画像表示
SIEMの新版では、アーキテクチャを刷新し、拡張性を向上させた。データを仲介するデータバス部分にメッセージキューのKafkaを採用した。相関分析やログ保存などの各コンポーネントが必要なデータをKafkaから取り込むアーキテクチャとしたことで、拡張性を確保した。さらに、分散データベースを搭載した。
従来版では、拡張しようとすると、内部のコンポーネント同士のデータの受け渡しが複雑になる傾向があったという。