教師あり機械学習や教師なし機械学習もリアルタイムではないし、数秒で移動できない。なぜなら機械学習は膨大なデータとプロセス、分析をへてアウトプットを得る手法だからだ。質問に答えるならば、伝統的なイベントの相関関係を用いるのか、機械学習を用いるのか選択することになるだろう。
だが、もう一歩進んだ方法もある。前述した両方の戦術を採用し、分析した出力結果へリアルタイムに相関関係を変数として加えると、しきい値は動的になるので、フォールスポジティブの件数も減らせるだろう。さらにリアルタイム相関関係の出力結果を機械学習のモデル分析の変数とすれば、分析戦術の精度も向上できる。
われわれはユーザー企業から「ArcSightが競合他社に追いつく方法」を問われるが、「追いつくつもりはない。次の進化に取り組んでいる」と答えてきた。われわれは多様な分析戦術をすべて使用し、SIEMプラットフォームを提供している。
Mychalczuk氏は中規模の民間医療機関の最高セキュリティ責任者も務めている
――Intersetは「Splunk」などと組み合わせて使用できるか。
Interset技術はSplunkのデータでも使用できる。答えはイエスだ。Intersetの製品はIBMの「Watson」や(ビジネスインテリジェンス=BIソフトウェア)「Cognos(現Cognos Analytics)」を開発していた人材が携わっている。彼らはデータ分析エンジンを構築し、セキュリティ課題の解決に同エンジンを用いている。
重要なのはセキュリティ課題だけではなく、他の製品分野にもセキュリティ対策を追加するためにデータ分析エンジンを手に入れた点だ。単にセキュリティソリューションを増やしたのではなく、網羅できる範囲が広がり、先進的な分析技術を取り込んだのが、Interset買収の意図である。われわれの戦略はIntersetとArcSightをシームレスに統合し、両方の分析エンジンを単独もしくは同時に活用可能にすることだ。
――Intersetを利用する場合、既存のセキュリティシステムのデータを蓄積し、学習させてから導入するのがベストか。それともArcSightやIntersetを導入してから学習させるのがベストだろうか。
ログがない状態でIntersetが成果を出すには、30~45日のログが必要だ。過去のログがある場合は、数時間で成果を得られる。ArcSightの場合はゼロ状態から運用を開始しても数時間で価値を得られるだろう。なぜなら、コンテンツをコード化し、事例や脅威指標をネットワークもしくはアプリケーションのデータから特定し、疑わしいものを特定する能力をArcSightは備えている。
だが、両者は戦術によって制約があるため、分析戦略を補完するため、われわれは両者の同時使用を推奨している。重要なのは長い年数を費やさず、迅速に顧客へ価値を提供する技術だ。