編集部からのお知らせ
新着の記事まとめ「Emotet」動向

Micro Focusが考える「ゼロトラスト」戦略とSIEMの可能性 - (page 3)

田中好伸 (編集部) 阿久津良和

2019-10-16 07:15

 この例に当てはめれば、ゼロトラストは壁にゲートを設けるようなもの。人の出入りに関しては、すべての人を必ず確認するという考え方。より高度な分析方法として、AI(人工知能)や教師なし機械学習をゲートに組み込み、すべての人を確認する。潜在的なスパイを識別するようなものだ。

SIEMをより賢く

――ArcSightやSentinel、Intersetの関係性を教えてほしい。どれもSIEMと説明されているが、違いが分からない。

 ArcSightとSentinelは同じ考えに基づいて作られたSIEMだが、違いが分からないという観点は正しい。われわれは2つをマージし、ArcSightに統合する戦略を持っている。

 そのアプローチとして、Sentinelを使っているユーザー企業が「自分たちは見捨てられた」といった印象を持たないようにマイグレーションという形を取るだろう。移行に関して注意を払っているのは、ユーザー企業がArcSight、Sentinelのどちらかを使っていようが、今までと同じ体験を統合したソリューションから得られる点だ。

 われわれは時間をかけて取り組んでいる。投資してくれたユーザー企業を保護し尊重するため、統合されたものは少なくとも同等、それ以上を上回るパフォーマンスを感じられるだろう。

 IntersetはSIEMではなく、SIEMに上乗せする存在だ。Intersetの買収意図はAIエンジンをデータサイエンスに用いることで、SIEM以外の製品にも利用できる点にある。SIEMにおける分析レイヤーは「記述的分析」「診断的分析」「予測的分析」「処方的分析」が必要だ。

 これまではイベントとの相関関係からさまざまな解答を導き出してきたが、それで分かるのは記述的分析や診断的分析程度。予測的分析も途中までは可能だろう。

 同じことは、機械学習を使用する場合にも当てはまるが、これらは異なる戦術だ。たとえば、教師あり機械学習はマルウェア検出ソフトウェアで使用される分析手法の一種であり、記述的な分析問題に答えるために使用できる。

――SIEMは日本企業でも何度か導入しようという機運が高まったが、(ファイアウォールやIDS/IPSのような)本格的な普及には至っていない。おおよそ10年ほど前にSIEMを導入しても誤検知のアラートが鳴りすぎて「使いものにならない」という結論になってしまった。そこから各ログの文脈を踏まえてアラートが出すというSIEMに対する導入の機運が再び高まったように思える。Micro Focusから見てこれまでのSIEMがうまくいかなかったと思える課題があったら教えてほしい。

 イベント相関関係ほど、リアルタイムの分析戦術として役立つものはない。とはいいながらも、イベント相関関係は後手もしくは受け身の戦術になってしまう。イベント相関関係の欠点は分析時にしきい値を設定するものの、静的な数値なため、フォールスポジティブ(False Positive、誤検知)とフォールスネガティブ(False Negative、見逃し)の割合が決まってしまう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]