IBM、マルチクラウドを見据えたセキュリティ基盤「IBM Cloud Pak for Security」を公開

ZDNET Japan Staff

2019-11-26 06:00

 IBMは米国時間11月20日、ハイブリッド/マルチクラウドの環境を見据えた新たなセキュリティプラットフォーム製品群「IBM Cloud Pak for Security(ICP for Security)」をリリースした。同製品の展開などについて日本IBM 執行役員 セキュリティー事業本部長の纐纈昌嗣氏に話を聞いた。

 ICP for Securityは、8月に買収を完了したRed Hatの「OpenShift」などのオープンソース由来の技術をベースに開発された。同社は、従来のソフトウェア製品群をOpenShiftに統合し、「IBM Cloud Pak」の名称でデータ、アプリケーション、統合、自動化、マルチクラウド管理の各製品群を展開。ICP for Securityは現状予定されている、Cloud Pakを構成する最後の領域になる。だが纐纈氏によれば、従来のセキュリティソリューションの延長線上というより、これからのハイブリッド/マルチクラウド環境に向けたものになるという。

「IBM Cloud Pak for Security」の第一弾では、高速検索とシナリオベースのインシデント対応支援の2つ機能を提供する
「IBM Cloud Pak for Security」の第一弾では、高速検索とシナリオベースのインシデント対応支援の2つ機能を提供する

 ICP for Securityは、Dockerコンテナーとして動作し、OpenShiftを利用してオンプレミスやさまざまなパブリック/プライベートクラウドの環境で利用できる。システムやアプリケーション、セキュリティツールらとコネクター経由で接続し、セキュリティ担当者が各種ログやデータのソースにアクセスする手段を提供する。インシデント対応では、担当者がICP for Securityからデータソースにアクセスし、必要な情報を検索して分析や調査が行えるほか、プレイブックなどに基づいて対応フローを効率的に進められるとしている。

 企業のセキュリティ対策環境には、異なるベンダーの複数の検知や防御のためツールが導入され、それぞれのツールで運用管理しなければならなかった。また、インシデント対応などのためのSIEM(セキュリティ情報・イベント管理)も大企業などを中心に導入されているが、基本的にシステムやアプリケーション、セキュリティツールのログやデータをSIEMに集める仕組みである。結果的に蓄積するデータ量が膨大で、保管のためのストレージ容量が枯渇したり、必要なデータへのアクセスに時間を要したりするなどの課題があった。インシデントの状況把握や調査、対応も時間が長くなりがちだという。

 纐纈氏によると、ICP for Securityの開発に際してIBMとMcAfeeが中心となり、ベンダー間でセキュリティ関連のデータを共有する枠組み「Open Cybersecurity Alliance」を構築。データの内容を共通して扱えるよう形式を業界標準の「STIX(Structured Threat Information eXpression:脅威情報構造化記述形式)」に定め、McAfeeがオープンソースとして公開する「OpenDXL」を介して異なる製品・サービスの間で相互にデータをやりとりできる。IBM CloudやAmazon Web Services(AWS)、Microsoft Azureなどのパブリッククラウドサービス、Carbon BlackやTenable、Elastic、BigFix、Splunkなどのセキュリティツールが連携できるようになっている。

10月にIBMやMcAfeeらセキュリティ各社が共同設立した「Open Cybersecurity Alliance」では、セキュリティ情報を共通して扱えるようにすることでベンダーが異なるセキュリティ製品・サービスを連係できるようにする
10月にIBMやMcAfeeらセキュリティ各社が共同設立した「Open Cybersecurity Alliance」では、セキュリティ情報を共通して扱えるようにすることでベンダーが異なるセキュリティ製品・サービスを連係できるようにする

 この枠組みをベースに、ICP for Securityでは、セキュリティ管理者が検索機能の「Data Explorer」からIPアドレスやURL、ハッシュ値、IoC(Indicator of Compromise:侵害の指標)などの条件を指定し、ICP for Securityに接続しているシステムやツールのデータソースにアクセスして、必要な情報を迅速に探し出せるという。従来のようにあらかじめSIEMへデータを集めるのではなく、逆にICP for Securityからデータソースにアクセスすることで、高速検索を可能にした。

 インシデント対応では「Cases」という機能を利用して、セキュリティ管理者がプレイブックや数百種類のシナリオ、ガイダンスに沿って作業を進めていくことにより、調査や被害抑止策の実行といったフローを円滑に進められるよう支援するという。

 IBMは、既に企業の76%が2~15種類のクラウドを使用していると分析し、今後3年以内にその割合が98%に上昇すると予測している。纐纈氏は、企業が利用するクラウド環境の拡大に伴ってシステムやアプリケーションがさらに複雑化する一方、現状で充足していないとされるセキュリティ担当者のリソースをさらに増強するのは難しく、セキュリティリスクが高まる懸念があると指摘する。セキュリティリスクが顕在化してからソリューションを開発するのでは遅いとの考えから、DockerコンテナーとKubernetesによる新しいアーキテクチャーでICP for Securityを開発したと説明する。

セキュリティ関連のログやデータをSIEMへ集めるのは負担が重く非効率的になってきたことから、Dockerコンテナーのツールからデータソースへアクセスすることで高速検索性を実現しているという
セキュリティ関連のログやデータをSIEMへ集めるのは負担が重く非効率的になってきたことから、Dockerコンテナーのツールからデータソースへアクセスすることで高速検索性を実現しているという

 同社は、ICP for Securityを一般企業以外に、マネージドセキュリティーサービスプロバイダー(MSSP)にも提供し、セキュリティ運用の悩むMSSPの顧客企業もサポートしていくという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]