ログの相関分析でセキュリティ脅威を可視化、IBMが「QRadar」を発表

さまざまなログの相関関係を分析してセキュリティインシデントの発生をユーザーに警告する新たな仕組みを提供する。

[國谷武史，ITmedia]

　日本IBMは1月10日、セキュリティ対策ソフトウェアの新製品「IBM Security QRadar V7.1」を発表した。ITシステムからさまざまなログを収集し、相関関係を分析してセキュリティインシデントの発生やその内容をユーザーに警告する新たな仕組みを実現する。

　QRadarは、米IBMが2011年に買収したQ1 Labsの製品。ログの収集や管理、セキュリティ情報・イベント管理（SIEM）、脅威モデルに基づくシミュレーションやビジネスへの影響分析、ネットワーク分析およびふるまい検知、レイヤ7でのアプリケーショントラフィック監視といった機能を搭載する。国内外で2000社以上が既に利用しているという。

　会見したセキュリティーシステムズ事業部長の和田秀雄氏は、企業を狙うサイバー攻撃の高度化、巧妙化が進み、また、企業の情報システムも複雑化しているが、ITセキュリティ担当者の不足などを背景に、十分に対策が進められないという現状を指摘する。新製品は、セキュリティ脅威の発生を担当者がいち早く知り、迅速な対応を取れるようにすることを支援するのが狙いだと説明した。

QRadarの特徴

　ログ情報をセキュリティ対策に活用するアプローチは、これまで「統合ログ管理」という形で提供されてきた。だが、収集したログからどのような脅威が発生しているのかなどの分析作業は、ユーザーのスキルに依存する部分が大きいという課題があった。今回の新製品を含め、近年にリリースされた製品では脅威の分析をなるべく自動化することで、ユーザーの負荷を下げ、すばやいインシデント対応を実現させることを目的にしている。

社内に潜む「ボット」と攻撃者のコマンド＆コントールサーバとの通信を検知したデモ。リスクレベルをグラフでも表示する。この後、ボットに感染したコンピュータをネットワークから切り離し、QRadarで過去にも通信があったかどうか、社内から機密情報が攻撃者に送信されていないかといったアクションに移ることができる

　和田氏によれば、QRadarでは脅威を検知するために1000種類以上のルールを備え、インシデント内容の検索などのために100種類以上の検索パターンを用意しているという。リアルタイム監視から、時間単位や日次、週次、月次でのレポートも行える。アプライアンスや仮想環境で利用できる。

　製品価格は利用規模で異なるが、ログ管理のみの場合は432万4700円（税別）から、レイヤ7のアプリケーショントラフィック監視を除く全機能の場合は1057万6000円（同）から。11日から出荷を開始する。当初は英語版のみだが、年内に日本語のログや検索への対応を予定しているという。

　専務執行役員 ソフトウェア事業担当のヴィヴェック・マハジャン氏は、「膨大なログデータをセキュリティ対策に利用する『セキュリティインテリジェンス』を企業に提案したい。セキュリティリスクに率先して対応できるだけでなく、ITシステム全体のセキュリティ統制につながる」と話した。