マカフィー、セキュリティ脅威を可視化するSIEMに参入 「使いやすさを追求する」：Maker's Voice

マカフィーは7〜9月期に、ログや外部情報の相関分析からセキュリティ脅威を可視化する「SIEM」製品を日本市場に投入する。事業責任者のケン・レーヴィン氏に戦略を聞いた。

[國谷武史，ITmedia]

　企業や組織内の社内システムのログ情報や外部のセキュリティ情報などを相関分析することでセキュリティの脅威を可視化する「SIEM（セキュリティイベント・インシデント管理）」の市場にマカフィーが参入する。米McAfee マネージメントシステム担当シニアバイスプレジデント兼ゼネラルマネージャーのケン・レーヴィン氏が、今年7〜9月期にSIEM製品を日本市場で発売することを明らかにした。

米McAfee マネージメントシステム担当シニアバイスプレジデント兼ゼネラルマネージャー ケン・レーヴィン氏

　ベンダーによるSIEM製品の日本展開は2012年後半から本格化し、日本HPがArcSight、日本IBMがQRadar、EMCジャパンがRSA Security Anlyticsを相次いで発表。その背景には2011年ごろから国内企業を狙う標的型サイバー攻撃の増加があり、ベンダー各社はSIEMの活用により、セキュリティ上の脅威をいち早く可視化し、被害抑止などの対応を迅速に取れるようにすることを企業に訴求している。

　McAfeeは、2011年にSIEMベンダーのNitroSecurityを買収。レーヴィン氏は、2006年から買収時点までNitroSecurityの会長兼CEOを務めた。同氏によれば、SIEMは元々コンプライアンスにおける統合ログ管理ソリューションとして登場し、近年はセキュリティの可視化ソリューションとして注目されるようになった。これまでの主要なユーザー企業は、従業員1000人以上のエネルギーや金融、通信、医療、公共といった組織だったが、最近ではセキュリティ対策を強化したいという中堅企業の導入も増えているという。

　McAfeeのSIEM製品の特色としてレーヴィン氏は、導入や運用のしやすさ、分析処理におけるパフォーマンスの高さを挙げる。「独自アーキテクチャのデータベースに強みがあり、非常に膨大な量のログデータを効率的に蓄積し、短時間で相関分析ができることを目指している」（同氏）

　SIEM製品のメリットは脅威の可視化作業の多くをシステムで自動化できる点にあるが、その反面、ユーザーが期待する効果を得るためには、まず膨大なログを蓄積する必要がある。また、相関分析では組織内における正常な情報システムの利用パターンと脅威のパターンを識別していくが、そのためにはサイバー攻撃の手口、あるいは、内部関係者による不正手口といった脅威に関する知見と、ごくわずかな兆候からそれを見抜ける感覚などが要求される。

　SIEMのメリットに注目する国内の企業は次第に増えているようだが、「導入が複雑で運用も難しそうだ」といった声が聞かれる。レーヴィン氏もこの点に触れ、「確かにSIEMが機能するようになるには、一定期間のログの蓄積が必要になる。ただ相関分析に必要なテンプレートなどを製品に数多く反映しており、ある企業では運用開始から数日で標的型サイバー攻撃に遭っていることを検知できたケースもある」と話す。

　McAfeeの買収によって、膨大なセキュリティの脅威情報を製品に取り込めるようになった点も大きいという。「McAfeeには『Global Treat Intelligence』という情報基盤があり、数百社のベンダー製品と統合管理基盤の『ePolicy Orchestrator』が連携する仕組みもある。こうした情報を活用して、検出した脅威をすぐIPSなどで遮断し、DLPで情報流出を阻止するなど、脅威への対応がより能動的にできるようになった」（同氏）

　製品面では今後、SIEMシステムと各種システムとの連携作業、ユーザーによるテンプレート作成や設定を簡単にできるようにしていくという。「SIEMの基本は複雑かもしれないが、それをよりシンプルで難しくないものにしたい」とレーヴィン氏は話している。