セキュリティイベントの分析と対応を提言する新サービス 日本IBMが発表

日本IBMは、顧客企業のネットワークで検知したセキュリティイベントの分析を通じて、対応の優先度付けや対策をアドバイスするサービスを始める。

[國谷武史，ITmedia]

　日本IBMは2月26日、企業向けセキュリティ対策サービス「IBM Managed Security Information and Event Management（IBM Managed SIEM）」を3月18日から提供すると発表した。サイバー攻撃などが疑われる脅威の監視や初期対応における企業の負担を軽減する。

サービス提供イメージ

　新サービスでは利用企業のネットワークに、セキュリティ関連のログ情報を相関分析するソフトウェア「IBM Security QRadar」を配備し、QRadarで分析した情報をIBMが運営する「セキュリティオペレーションセンター（SOC）」に送信する（一部ログは送信されない）。SOCで同社の研究者が、QRadarの情報をもとに影響範囲や対応の優先度付けなどを行い、利用企業に対策などをアドバイスする。また、QRadarの遠隔サポートや運用なども同社が行う。

　同社によれば、標的型サイバー攻撃などの脅威は複雑な攻撃手法を巧妙に組み合わせて実施されるため、システムのログを監視するだけでなく、ログ同士の関係性から標的型サイバー攻撃の発生を見つけ出す必要がある。しかし、その運用では攻撃手法に詳しく経験の豊富な人材がネットワークを24時間体制で監視しなければならないなど、大きな負担を伴うケースが少なくという。

　新サービスは、こうした一連の対応の中で監視や分析、初期対応にあたる部分を同社が代行することで、利用企業の負担軽減を支援する。利用企業では「インシデントレスポンスチーム」と呼ばれる組織横断型のセキュリティ対応チームが、IBMのアドバイスなどをもとに、例えばコンピュータに感染しているマルウェアの駆除や攻撃経路の調査、情報漏えい防止策の実行といった対応作業に集中できるようになる。

　サービス利用に際しては、要件定義から導入までに平均3カ月、導入後の初期設定から実運用時の調整までに同2カ月の合計5カ月程度を要するという。これは、実運用後にSLAに基づくサービス提供を確実に行ううえで、利用企業における事業体制やセキュリティ要件、運用内容との事前調整に多くの必要となるためだとしている。

　サービスの参考利用料金は運用段階において月額349万円（税別、100台の各システムから1秒に10件のイベントが検知されたと想定した場合）。運用段階までの費用は応相談。別途、QRadarの費用も必要になる。専門家によれば、こうした体制を企業が自前で行う場合には、人件費だけでも年間数千万円を要するという。