アラートの一元化でセキュリティインシデントの「活用」を、CAが管理ツール

コンピュータ・アソシエイツは、さまざまなネットワーク機器やセキュリティ製品が出力するログを集約、分析して警告を行うセキュリティ情報管理製品をリリースした。

[高橋睦美，ITmedia]

　コンピュータ・アソシエイツ（CA）は5月26日、ネットワーク機器やセキュリティ製品が出力するログを集約し、企業の環境やリスクに応じた分析を加えた上で管理者に通知する「eTrust Security Command Center r8 Japanese」（eTrust SCC）と「eTrust Audit r8 Japanese」（eTrust Audit）を発表した。

　同社のシニアマーケティングマネージャ、赤間敏彦氏（プロダクト・マーケティング部 エンタープライズ・プロダクト・プランニンググループ）は、現況のセキュリティ対策は専用ベンダーによるポイントソリューションの提供にとどまっており、統合コンソールが存在していないと指摘。そこから2つの問題が発生しているという。

　「まず、全体を通してどんな問題が起こっているかを把握できない。また、膨大なアラートやメッセージを整理しないと、本当に重要な情報がその中に埋もれてしまう恐れもある」（赤間氏）。

　eTrust SCCは、各製品が吐き出すアラートやログを一元的に収集し、関連付けや優先順位付けを行って「単なるログを意味のある情報に変える」（同氏）ことで、そうした問題を解決するための製品だ。アラートの一元化によってセキュリティインシデントを「活用」することも可能になるという。

　セキュリティ機器のログやアラートを集約するツールは他にも存在するが、特徴は「ただログを集約するだけでなく、資産情報やセキュリティリスクと関連付け、重要な情報を絞り込んだ形で伝えられること」（赤間氏）。

　また同社のシステム運用管理ソフト「UniCenter」と連携させることで、ヘルプデスクシステム向けにトラブルチケットを上げたり、脆弱性が存在するシステムにパッチを配布、適用させるといった運用も可能だ。セキュリティ銃砲を運用管理につなげることで「NOCとSOCの連携を実現できる」（同氏）という。

　運用に当たっては、主要なネットワーク機器やファイアウォール、ウイルス対策ソフトやIDSに対応したエージェントをインストールすることで、イベントやステータスに関する情報を収集する。エージェントのインストールが困難な機器の場合、SNMP経由で、あるいは機器ベンダーが独自に提供する管理ツールを通じて情報を集約することも可能だ。さらに、国産の機器や独自アプリケーションへの対応用にSDKも用意される。

eTrust SCCのインタフェース。信号のメタファで状況を分かりやすく伝えるという

　CAではまた、ログの中からどういった情報を吸い上げるかをまとめたテンプレートを100種類以上用意している。これら英語版テンプレートのローカライズも進めており、順次提供していく計画という。

　CAによればeTurst SCCは、アテネオリンピックでもアラートのフィルタリングに採用された。両製品を通じ、国内でも、セキュリティアラート情報を集約して一元的に管理するセキュリティ情報管理（Security Information Management：SIM）市場の立ち上げを狙うという。

　eTrust SCCの価格は375万円から。その中からログの収集機能だけを抜き出して製品化したeTrust Auditは18万円から。同社の既存大手顧客やISMSをはじめとするセキュリティ認証の取得を考えている企業、データセンター事業者などを対象に、パートナーを通じて7月より出荷を開始する予定だ。