ビッグデータと攻撃者視点でセキュリティ対策を講じるべし――IBM

米IBMが新たなセキュリティ対策のコンセプトを発表。従来の対策手法をかわすサイバー攻撃に対し、ビッグデータを攻撃者の視点から分析することで、被害抑止につなげていくという。

[國谷武史，ITmedia]

　米IBMは今年1月、「IBM Security Intelligence with Big Data」という企業向けセキュリティ対策のコンセプトを発表した。情報システムから発生する多種・大量のログデータにビッグデータ分析を適用し、そこで得られた知見をセキュリティ対策の強化に役立てるというものだ。

IBMソフトウェア・グループ セキュリティー・システムズ ワールドワイド・アイデンティティー セキュリティー・コンプライアンス戦略ソリューション・セールス・マネージャー ジョー・スコシッチ氏

　同社ソフトウェア・グループ セキュリティー・システムズのジョー・スコシッチ氏は、「膨大なネットワーク接続デバイスが登場し、SNSなどでは膨大な量の情報が発信されている。仮想化やクラウドによってコンピューティングパワーのスケールアップしており、既に企業ではマーケティングなどでビッグデータの分析活用を始めている。これをセキュリティ対策にも適用すべきだ」と話す。

　その背景には企業を狙うサイバー攻撃の増加がある。IBMのセキュリティ研究機関「X-FORCE」の調査によれば、2012年は企業を狙うサイバー攻撃の発生が前年から40％増加した。その中では攻撃手法の特定が困難な事案が増えているという。

　「攻撃者は、複数の技術や手法を使う。例えば、SNSで標的に関する情報を収集して知人になりすまし、メールやSNSを通じてマルウェアに感染させる。感染に成功すると、システムの脆弱性を突いて感染先をさらに広げ、目的の情報を盗み出す。ここでは既存のセキュリティ製品に検知されないテクニックも多用している」（スコシッチ氏）

　同氏は、こうしたサイバー攻撃の対策では従来のように脅威の侵入を防ぐことだけに重要を置かず、攻撃者がどのような手口を使っているかを理解し、それに基づいて対策を講じていくアプローチも必要だと指摘する。そのコンセプトが「IBM Security Intelligence with Big Data」であり、具体的には、SIEM（セキュリティインシデント・イベント管理）基盤製品のQRadarとビッグデータ分析基盤のInfoSphere BigInsightsの連携によって実現するという。

「Security Intelligence with Big Data」のための基盤

　「ログなど定型のデータソースとSNSなどの非定型のデータを取り込み、相関分析をすることによって、外部からサイバー攻撃や組織内部の不正行為などを検知できるようにする」と、スコシッチ氏。IBMでも同様の仕組みを自社で運用し、セキュリティ対策に役立てているという。

　システムの導入コストは最小構成なら約5万ドルからで、導入・展開に要する期間は平均で3週間という。これは参考値であり、実際はケースバイケースとのこと。スコシッチ氏は、「IBMが提供するからには、『導入支援などのサービスにコストが掛かるのではないか』と思うユーザーがいるかもしれない。われわれはそうしたサービスで稼ぎたいとは考えていない。つまり、導入・展開に手間がかかるシステムでは無いということだ」と強調する。

　ビッグデータの分析からセキュリティの脅威を可視化し、対策に反映するというアプローチは、これまでセキュリティベンダーがビジネスとして手掛けてきた。これをユーザー自身も行うというのは、スキルやノウハウ、人材の確保、また、セキュリティポリシーや対策の見直しといったあらゆる面でチャレンジになると言えそうだ。

　スコシッチ氏は、「分析のための多数のテンプレートをシステムに実装している。X-FORCEやマネージドセキュリティサービスでのノウハウや知見も提供し、ユーザー企業におけるビッグデータを活用したセキュリティ対策を支援したい」と話している。