この例に当てはめれば、ゼロトラストは壁にゲートを設けるようなもの。人の出入りに関しては、すべての人を必ず確認するという考え方。より高度な分析方法として、AI(人工知能)や教師なし機械学習をゲートに組み込み、すべての人を確認する。潜在的なスパイを識別するようなものだ。
SIEMをより賢く
――ArcSightやSentinel、Intersetの関係性を教えてほしい。どれもSIEMと説明されているが、違いが分からない。
ArcSightとSentinelは同じ考えに基づいて作られたSIEMだが、違いが分からないという観点は正しい。われわれは2つをマージし、ArcSightに統合する戦略を持っている。
そのアプローチとして、Sentinelを使っているユーザー企業が「自分たちは見捨てられた」といった印象を持たないようにマイグレーションという形を取るだろう。移行に関して注意を払っているのは、ユーザー企業がArcSight、Sentinelのどちらかを使っていようが、今までと同じ体験を統合したソリューションから得られる点だ。
われわれは時間をかけて取り組んでいる。投資してくれたユーザー企業を保護し尊重するため、統合されたものは少なくとも同等、それ以上を上回るパフォーマンスを感じられるだろう。
IntersetはSIEMではなく、SIEMに上乗せする存在だ。Intersetの買収意図はAIエンジンをデータサイエンスに用いることで、SIEM以外の製品にも利用できる点にある。SIEMにおける分析レイヤーは「記述的分析」「診断的分析」「予測的分析」「処方的分析」が必要だ。
これまではイベントとの相関関係からさまざまな解答を導き出してきたが、それで分かるのは記述的分析や診断的分析程度。予測的分析も途中までは可能だろう。
同じことは、機械学習を使用する場合にも当てはまるが、これらは異なる戦術だ。たとえば、教師あり機械学習はマルウェア検出ソフトウェアで使用される分析手法の一種であり、記述的な分析問題に答えるために使用できる。
――SIEMは日本企業でも何度か導入しようという機運が高まったが、(ファイアウォールやIDS/IPSのような)本格的な普及には至っていない。おおよそ10年ほど前にSIEMを導入しても誤検知のアラートが鳴りすぎて「使いものにならない」という結論になってしまった。そこから各ログの文脈を踏まえてアラートが出すというSIEMに対する導入の機運が再び高まったように思える。Micro Focusから見てこれまでのSIEMがうまくいかなかったと思える課題があったら教えてほしい。
イベント相関関係ほど、リアルタイムの分析戦術として役立つものはない。とはいいながらも、イベント相関関係は後手もしくは受け身の戦術になってしまう。イベント相関関係の欠点は分析時にしきい値を設定するものの、静的な数値なため、フォールスポジティブ(False Positive、誤検知)とフォールスネガティブ(False Negative、見逃し)の割合が決まってしまう。
