日本情報通信株式会社

悪質化が進むサイバー攻撃
侵入後の活動をいかに素早く捉えるか

巧妙化、悪質化が進むサイバー攻撃は、対策にあたる企業の管理者を悩ませ続けている。 これまで、セキュリティ対策といえば、脅威の侵入を防ぐことが主な目的だった。しかし、脅威の侵入を完全に防ぐことが不可能となりつつある現在、それだけで対応するのは困難になっている。 被害を防ぐには、脅威が侵入したことや内部での活動を素早く捉え、その影響範囲やリスクの大きさを把握し実害に至る前に適切な対処をする、あるいは被害を最小限に留めるというアプローチが求められる。

脅威検知、相関分析、可視化で防御
標的型攻撃対策 × SIEMソリューション

NI+Cが提案しているのが、IBMのSIEM製品「IBM Security QRadar SIEM」（以下、QRadar）と、ネットワーク内部を可視化するトレンドマイクロの「Deep Discovery Inspector（DDI）」の組み合わせだ。

QRadarは、各種セキュリティ対策機器やネットワーク機器からログを収集し相関分析することで、攻撃を受けているのかどうか、ひいてはどのような攻撃を受け、どれくらいのリスクがあるのかを可視化するソリューションである。

DDIは、ネットワーク内部の情報をQRadarに与えるセンサーとして重要な役割を果たす。DDIは、ネットワークスイッチのミラーポートに接続することで、ネットワーク上を行き交う通信を監視し、これまで発生したことのない外部サーバーへのアクセス、大量のログインエラーなど、いつもと異なる不正な通信を検知することで、ネットワーク内に潜む脅威の活動を捉える。

日本IBMとトレンドマイクロの間でも QRadarとDDIの連携強化に向けた取り組みが進められている。セキュリティ技術に基づくアプリケーションの作成・共有のためのマーケットプレイス「IBM Security App Exchange」上では、トレンドマイクロがQRadarでDDIのログをどのように解釈すべきかを定義したテンプレートを無償で提供している。

自らの経験を活かしたサービスで 導入から運用までをサポート

導入時には、パラメータ設定やキッティング、システムテスト、運用テストに至る基盤構築支援に加えて同社オリジナルの運用手順書などマニュアル類を提供し、さらには運用管理の実施者に向けた研修やトレーニングも実施する。

加えて、導入後にも、継続的な運用の実践を支える「伴走サポート」「チューニング支援」「セキュリティ監視サービス」というメニューを用意している。 セキュリティ監視サービスは、QRadarとDDIの運用管理そのものをアウトソースできるサービスもラインアップ。

同社センターから顧客が運用するシステムを監視し、QRadarあるいはDDIからのアラートを起点に、NI+Cが対応要否を判断して、必要な場合は対応策を報告したり、監視機能の変更や月次報告を行う。また、オプションでウイルス駆除までを行うことも可能だ。

これらのサポートには、NI+C自身がユーザーとしてQRadarとDDIを導入、運用したノウハウが反映されている。 サイバー攻撃はより悪質、巧妙なものへと進化を続けている。限られたリソースで堅牢な防御策を構築し、運用していくのは至難の業だ。QRadarとDDIによる防御、そして、運用を支援するNI+Cのサービスは、そうした問題の解決策となる。