日経 xTECH Special 日経 xTECH 日経 xTECH Special

春のIT展示会 レビュー

AIを活用!今あるべきセキュリティー対策

外部脅威と内部脅威、統合管理でインシデントに対応

統合されたセキュリティー免疫システム
個別の対策を統合管理し、組織全体を防御するインテリジェントなシステム
[画像のクリックで拡大表示]

 セキュリティー免疫システムでは、セキュリティー機器などを連携するオーケストレーションと分析により、脅威とリスクの検出や、対策の優先順位付け、インシデント対応の統合管理を行う。まず組織内のセキュリティー機器やネットワーク、サーバー、アプリケーションなどからのログやイベント情報を収集し、相関分析することにより、脅威とリスクの検出を行う仕組みだ。これは「IBM QRadar」で行う。

 脅威とリスクを検出するだけではない。その後は優先順位を付けてインシデント対応を行う。AIを活用して脅威とインシデントの関連付けや優先順位付けは「IBM QRadar Advisor with Watson(IBM QAW)」を、インシデント対応の統合管理は「IBM Resilient Incident Response Platform(IBM Resilient IRP)」を、それぞれ使うことで実現できる。

 続いて中田氏は、インシデント対応の課題をどう解決するのか説明した。外部からの標的型攻撃や未知の攻撃の検知や潜在的なリスクへの対応、リアルタイム検知と優先順位付けといった課題に対し、IBM QRadarを使うことで相関分析によるリスクの可視化や脆弱性・リスク管理などが行えるとした。

 外部脅威に加え、情報漏えいなど内部脅威の対策も欠かせない。内部脅威では、マルウエアなどによるアカウント情報の漏えいや、通常とは異なる振る舞いの検知、社員の不正行為の抑止などが課題となる。こうした課題に対し、IBM QRadarはユーザーの振る舞いの監視・分析やネットワーク・フォレンジックなどが行え、内部の不正状況をリアルタイムに可視化できる。「一つのプラットフォームで外部脅威と内部脅威を統合管理でき、オーケストレーションのニーズに応えることから、国内でIBM QRadarの導入が進んでいます」と中田氏は説明する。

セキュリティー・オーケストレーションと分析
日本IBMでは、セキュリティー脅威・リスクの検知/調査・分析/可視化、およびインシデント対応におけるソリューションを提供している
[画像のクリックで拡大表示]

Watsonが管理者に代わって分析し、スキル課題を解決

 スキル課題の一因に、組織内のセキュリティー管理者が膨大な情報に対応しきれなくなっていることがある。インシデント発生時には一つのデバイスが吐き出すログの量は1日あたり20万件に上るケースがあり、即時対応が求められる脅威を迅速に分析することが難しくなっている。また、管理者のセキュリティーに対するスキル不足も課題となる。その結果、「インシデント発生時に初動対応が遅れたり、誤った対応をしたりするなど、組織内で管理者によって対応が異なることが大きな問題になるのです」と中田氏は指摘する。

 こうしたスキルに関わる課題を解決するのがIBM QAWだ。脅威を迅速に分析し、インシデント対応するための支援を行う。例えば、IBM QRadarで検知した攻撃の情報を基に、攻撃の詳細や影響範囲などセキュリティー管理者が時間をかけて収集する情報を、IBM QAWが正確かつ短時間で分析する。「これにより、分析の自動化、対応策の迅速な展開と容易な利用が可能になり、インシデント対応時のスキルの課題を解決します」(中田氏)。

組織内のインシデントを統合管理、製品はクラウド版でも提供

 セキュリティー対応は組織全体の課題である。営業、開発、人事などの組織内の様々なところでセキュリティー・インシデントが発生するリスクがあり、対応が各部門で個別に行われるケースも多く、組織内のセキュリティー対策の統合管理が重要になってくる。そのためのソリューションがIBM Resilient IRPだ。

 例えば、IBM QRadarでログ情報を収集、分析し、疑わしいインシデントを検知した場合、IBM Resilient IRPが対応策を統合管理したり、エンドポイントセキュリティー機器と連携して最新パッチを適用したりするといった対策も可能だ。「時間のかかるタスクを自動化することにより、解決までの平均時間を削減します。ある企業ではインシデント対応に90分近くかかっていたものが、数分に短縮された例もあります」と中田氏は話す。

 IBM QRadar はクラウド版でも提供される。クラウド版は、柔軟なライセンス体系やハードウエア/インフラ管理不要というメリットに加え、最新の高度なセキュリティー機能を利用できる、運用管理などのスキル不足に対応するといった機能的なメリットもある。「多くの企業でセキュリティーのクラウド利用が進んでおり、組織に必要なセキュリティー機能を柔軟に導入できます」と中田氏は述べた。

お問い合わせ
  • 日本アイ・ビー・エム株式会社

    TEL:050-3149-2340

    URL:http://ibm.biz/k-yokuda

    (セキュリティー・エキスパートがご対応いたします)