ニュース

マカフィー、機械学習による分析で脅威の早期発見・対応を支援する「McAfee Behavioral Analytics」を提供開始

「McAfee Behavioral Analytics」と「McAfee ESM 11」を発表

 マカフィー株式会社は9日、機械学習を活用した分析によりセキュリティ運用チームをサポートするツール「McAfee Behavioral Analytics」の提供を開始した。また、セキュリティ情報/イベント管理(SIEM)ソリューションの「McAfee Enterprise Security Manager(McAfee ESM)」について、最新版となるMcAfee ESM 11の提供を開始したことも発表した。

 McAfee Behavioral Analyticsは、各種ログなどのビッグデータセキュリティ分析と機械学習の活用により、複雑な設定や前提となる特別な知識を必要とせずに、社員の内部不正や侵入したマルウェアの兆候など、組織内のセキュリティ脅威を発見できるようにする製品。

 マカフィーでは、特定社員の勤務時間外活動の増加や、ファイルのコピー量の急増、通常はアクセスすることのない共有フォルダへのアクセスといった脅威の兆候を検知するために、より多くのログデータを使用する傾向が高まっているが、こうした組み合わせのルール化は社員や部署によっても異なり、人間が対応することが難しくなっていると指摘。

通常と異なる行動の検知の課題

 McAfee Behavioral Analyticsは、細かい設定が不要な教師なし機械学習により、「多種多様なユニークなノーマル」を学習することで、ユーザーなどの過去や類似行動をモデル化し、ノーマルな状態からの逸脱に注目できるようにする。

機械学習を活用し「多種多様なノーマル」を学習

 また、Hadoop、Elastic、Apache Kafkaなどを活用した、大量データを想定したアーキテクチャとなっており、さまざまなデータを分析対象にすることが可能。数十億件規模のセキュリティイベントを、数百種類の異常に分類した上で、さらに優先スべきリスクの高い脅威を可視化する。

教師なし学習、大量データ想定のアーキテクチャで、さまざまなデータを分析対象に

 McAfee Behavioral Analyticsは、ソフトウェアライセンス(サブスクリプション)による提供となり、価格は5001~2万5000ユーザーの場合で1ユーザーあたり年額8540円(税別)。マカフィーのSIEM製品の利用が前提ではなく、単独製品としても利用できる。

McAfee Behavioral Analyticsの画面例
「リスクの高いユーザー」の一覧画面

 McAfee ESM 11では、データ処理の基盤にApache Kafkaを採用した新しいアーキテクチャに刷新することで、大量のセキュリティイベントを効率良く処理できるようにした。これにより、インシデントの調査やコンプライアンスのためのデータ保全を効率良く行えるとともに、大量のデータを必要とする分析プラットフォームとの連携も向上させた。

 大量データの保存だけでなく、数十億件規模の大量のイベントをすばやく検索して調査が可能。必要に応じて、McAfee ESMにアプライアンスや仮想マシンを追加し、パフォーマンスを高めることや、冗長性を向上させることができる。

 McAfee ESM 11はすでに提供中で、現在利用中の顧客はソフトウェアのバージョンアップにより新バージョンの利用が可能。

McAfee ESM 11の新しいアーキテクチャ
製品の提供について