編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向

Micro Focusが考える「ゼロトラスト」戦略とSIEMの可能性 - (page 4)

田中好伸 (編集部) 阿久津良和

2019-10-16 07:15

 教師あり機械学習や教師なし機械学習もリアルタイムではないし、数秒で移動できない。なぜなら機械学習は膨大なデータとプロセス、分析をへてアウトプットを得る手法だからだ。質問に答えるならば、伝統的なイベントの相関関係を用いるのか、機械学習を用いるのか選択することになるだろう。

 だが、もう一歩進んだ方法もある。前述した両方の戦術を採用し、分析した出力結果へリアルタイムに相関関係を変数として加えると、しきい値は動的になるので、フォールスポジティブの件数も減らせるだろう。さらにリアルタイム相関関係の出力結果を機械学習のモデル分析の変数とすれば、分析戦術の精度も向上できる。

 われわれはユーザー企業から「ArcSightが競合他社に追いつく方法」を問われるが、「追いつくつもりはない。次の進化に取り組んでいる」と答えてきた。われわれは多様な分析戦術をすべて使用し、SIEMプラットフォームを提供している。

Micro Focus エンタープライズセキュリティオペレーション製品管理ディレクター Michael Mychalczuk氏
Mychalczuk氏は中規模の民間医療機関の最高セキュリティ責任者も務めている

――Intersetは「Splunk」などと組み合わせて使用できるか。

 Interset技術はSplunkのデータでも使用できる。答えはイエスだ。Intersetの製品はIBMの「Watson」や(ビジネスインテリジェンス=BIソフトウェア)「Cognos(現Cognos Analytics)」を開発していた人材が携わっている。彼らはデータ分析エンジンを構築し、セキュリティ課題の解決に同エンジンを用いている。

 重要なのはセキュリティ課題だけではなく、他の製品分野にもセキュリティ対策を追加するためにデータ分析エンジンを手に入れた点だ。単にセキュリティソリューションを増やしたのではなく、網羅できる範囲が広がり、先進的な分析技術を取り込んだのが、Interset買収の意図である。われわれの戦略はIntersetとArcSightをシームレスに統合し、両方の分析エンジンを単独もしくは同時に活用可能にすることだ。

――Intersetを利用する場合、既存のセキュリティシステムのデータを蓄積し、学習させてから導入するのがベストか。それともArcSightやIntersetを導入してから学習させるのがベストだろうか。

 ログがない状態でIntersetが成果を出すには、30~45日のログが必要だ。過去のログがある場合は、数時間で成果を得られる。ArcSightの場合はゼロ状態から運用を開始しても数時間で価値を得られるだろう。なぜなら、コンテンツをコード化し、事例や脅威指標をネットワークもしくはアプリケーションのデータから特定し、疑わしいものを特定する能力をArcSightは備えている。

 だが、両者は戦術によって制約があるため、分析戦略を補完するため、われわれは両者の同時使用を推奨している。重要なのは長い年数を費やさず、迅速に顧客へ価値を提供する技術だ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]