ニュース

セキュリティ監視はプロの眼で――日本IBM、マネージド型SIEMを提供

佐藤功陛氏

 日本IBMは、企業内のSIEM(セキュリティ情報・イベント管理)の設計・構築・運用・監視を代行する新サービス「IBM Managed Security Information and Event Management(以下、IBM Managed SIEM)」を3月18日より提供する。

 SIEMソフト「IBM Security QRadar」を顧客企業内に導入し、企業全体のセキュリティ関連情報を相関分析。分析結果からIBMセキュリティ専門家が脅威の検出やインシデントリスクの優先順位付けを行い、顧客のCSIRTで適切に対応できるよう支援する。

 要件定義から、SIEMのシステムデザインなどの設計、構築、運用までIBMが支援するのが特徴。「お客さまの環境を知った上で構築するため、QRadarでどのシステムを対象に含め、どの情報を相関付けするかなど、現状に即したシステムが構築できる」(グローバル・テクノロジー・サービス事業 Tokyo SOC技術担当部長の佐藤功陛氏)とする。

 運用・監視は、IBMがグローバルに保有する10拠点のSOC(133カ国でサービス提供)や、9拠点のセキュリティリサーチセンター(X-Force)を背景とし、SIEMの専門知識を持つスペシャリストが担当。最適化されたさまざまな脅威情報やシステム内のログ情報などを用いて、ログとネットワークフロー、脆弱性情報、ユーザー情報、アセット情報などのデータ分析を行ったり、相関分析したりすることで、異常な振る舞いを検出する。ここでもユーザー環境に応じた対応が可能で、「モニタリングするだけでなく、環境に応じた影響範囲の確定や優先順位付けといったトリアージまで一部サポートできる」(佐藤氏)とアピールする。

SIEMとは
モニタリングからトリアージも一部代行する

 また、SIEMアナリストによる対策の提言だけでなく、運用支援として、設定変更・機器死活監視・アップデート・メンテナンス・障害対応コントロールなどをSIEMエンジニアが提言するのも特徴。これらにより、顧客のCSIRTにおいて適切に対応(レスポンス)できるよう支援する。

 価格は設計・構築フェーズが個別見積り。運用フェーズが月額349万円(税別。100台のログソースそれぞれから1秒間に10件のイベントがあがると想定した場合)。

セキュリティにおけるIBMのグローバル体制

川島 弘之