東京エレクトロン デバイス(TED)は2024年5月21日、米Devo Technologyのクラウド型SIEMサービス「Devo Security Data Platform」を販売開始した。SIEMは、セキュリティ機器のログを集約して分析し、脅威を検出するシステム。SOC(セキュリティオペレーションセンター)などがSIEMを利用する。TEDは導入前のヒアリング、事前検証、導入支援、導入後のサポートまで一貫して支援する。
東京エレクトロン デバイス(TED)が販売を開始した「Devo Security Data Platform」は、米Devo Technology(ディーヴォ テクノロジー)のクラウド型のSIEM(Security Information and Event Management)サービスである。TEDは課題のヒアリング、事前検証、導入支援、導入後サポートまで一貫して支援する。
SIEMは、セキュリティ機器のログを集約・蓄積し、脅威を検出するシステム。ランサムウェアや標的型攻撃が増加し、企業のセキュリティリスクが高まっていることから導入が広がっている。企業のSOC(セキュリティオペレーションセンター)は、SIEMを使って大量のセキュリティログを一元的に管理・分析している。
一方、現在のサイバー攻撃は高度化・巧妙化しており、SOCはアナリスト不足などの問題に直面している。こうした中、「従来のSIEMは、使いこなすために専門知識が必要であり、適用範囲も制限されていることから、セキュリティ対策を適切に行うには限界があった」(TED)という。
Devo Security Data Platformの特徴としてTEDは、クラウドネイティブ技術、AIの組み込み、振る舞い分析による脅威の特定、SOAR(Security Orchestration, Automation and Response: セキュリティ運用の自動化)、などを挙げる。「これらの機能を単一のプラットフォームで提供することで、自律型のSOCを実現する」(同社)としている。
システム面での特徴の1つは、データをインデックス化せず、正規化もせずに取り込むこと。これにより、各種のデータを取り込んですぐに分析可能だとしている。また、クエリー(問い合わせ)時にデータに付加情報を添えることで、収集したデータを複数の用途で活用できるようにしている。