SIEM EMCジャパン

インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン

組織内のセキュリティ状況を一元的に把握できる「セキュリティ情報イベント管理(SIEM)」が再注目されている。EMCジャパン(旧RSA)は比較的早い時期から「RSA Security Analytics」を展開している。

 サイバー攻撃は近年、ますます複雑かつ巧妙になっている。特定の企業や組織を狙った標的型攻撃や、サンドボックスの回避機能が実装されたマルウェアなど、従来のセキュリティ対策では防ぎきれなくなっている。そこで、サーバやネットワーク装置、セキュリティ機器、アプリケーションからログ情報を収集し、異常な振る舞いの検出や脅威の追跡、問題発生の予兆検知といった組織内のセキュリティ状況を一元的に把握できる「セキュリティ情報イベント管理(Security Information and Event Management:SIEM)」の関心が高まっている。

 EMCジャパン RSA事業本部の事業推進部 ビジネスデベロップメントマネージャーの能村文武氏、マーケティング部部長の水村明博氏に、ユーザー企業のセキュリティ意識やSIEM製品の市場動向などを聞いた。

SIEMはセキュリティのインフラ

――最近の脅威に対してユーザー企業はどのようなセキュリティ意識を持っているのか。

EMCジャパン RSA事業本部の水村明博氏
EMCジャパン RSA事業本部の水村明博氏

水村氏:セキュリティに対する意識の違いから市場は二分しています。1つは危機意識を持って、既存の対策では不十分と感じている企業。もう1つは脅威を対岸の火事と見ている企業です。セキュリティ意識が高いのは、例えばオンライン取引のような、セキュリティインシデントがビジネスに深刻な影響を与える業界です。そういった業界では、最高経営責任者(CEO)をはじめとするCxOの経営幹部がセキュリティ対策に関わっている傾向にあると感じています。

能村氏:業種としては、規制対応が求められると「右へ倣え」になりますので、例えば金融庁の監督指針を受けて金融業界のセキュリティ対策が強化されたり、総務省のガイドラインに対応して官公庁や地方自治体がセキュリティに注力したりしています。ただ、そうした企業や組織であっても、セキュリティ製品への投資を拡大するというやり方で、社内にセキュリティチームを作るということは今までなかったわけです。

 それが「社内にセキュリティ対策チームを作りなさい」という流れになることで、投資の方向も変わってきています。そういう面では、SIEMやセキュリティ監視センター(Security Operation Center:SOC)、セキュリティ対策チーム(Computer Security Incident Response Team:CSIRT)に対する企業の認識は、1年前より確実に高まっている印象です。ただ、深刻な情報漏えい事件を経験した企業でも、時間の経過とともに高かった意識も下がってしまいます。そういった企業は競合他社の導入を契機とする場合があります。

水村氏:「サイバーセキュリティ基本法」は内容に曖昧な部分が多く、企業もなかなか腰が上がらないのが現状です。また、政府や内閣サイバーセキュリティセンター(NISC)が重要インフラ13分野に対し、セキュリティ対策を呼び掛けています。しかし、分野ごとの違いがやはり曖昧です。そうした中で、企業側のセキュリティスキルの向上がますます重要になってくると考えています。

――SIEMの分野が登場して数年。導入状況はどのようになっているのか。

EMCジャパン RSA事業本部の能村文武氏
EMCジャパン RSA事業本部の能村文武氏

能村氏:日本版SOX法の実施を受けて、2006年あたりに第1次ブームがありました。主にコンプライアンス(法令順守)を目的に導入して、5~6年でリースバックや償却に至っています。第2次ブームでは、IBMやMcAfeeなどがSIEMベンダーを買収して、セキュリティのためのログ管理という目的で製品を発売したことがきっかけでした。

 今はインシデント対応も視野に入れた「第3世代」という言い方をしています。特にここ最近は大規模な情報漏えい事件が多発していることもあって、非常に引き合いが多くなっています。標的型攻撃対策としてサンドボックス製品への注目も集まっていますが、SIEMを一緒に導入するケースも増えています。

 セキュリティ対策に早くから取り組んでいる企業も、第3世代のSIEMに興味を示しており、案件が非常に多くなっています。EMCの場合、IBMの「QRadar」やHewlett-Packardの「ArcSight」からの乗り換えも含めて、前年比で200%以上の成長を達成しています。こうした状況は米国市場でも同じで、「とにかくSIEMを導入しよう」というケースがあり、勢いがあります。ただ、その導入理由は企業によって異なる印象です。

 現在のSIEMは、CSIRTをはじめとする社内のセキュリティチームを作る際に導入するセキュリティ運用基盤の管理ツールという位置づけになっています。それにもかかわらず、セキュリティチームを作る予定がなかったり、運用がベンダー任せだったり、あるいはセキュリティ機器の管理を効率化したりといったニーズで導入を検討している場合があります。

 本当にやらなくてはいけないのは、セキュリティインシデントが発生した際にいかに迅速な対応ができるかです。しかし、そうした企業は、そもそものログを集める難しさや、インシデント発生時の脅威の追跡などについて、具体的なイメージを持っていないように見受けられます。

残り本文:約1800文字 ログインして続きを読んでください。

あなたにおすすめの記事

関連記事

ホワイトペーパーランキング

  1. AIのメリットを引き出す「7つの領域」と「17の活用シーン」
  2. Amazonサービスが鍛え上げた「AWSの機械学習」、実際に使ってみませんか?すぐ導入できるガイド
  3. 外資系CRM/SFA導入後たった1年で挫折する企業が多い理由が明らかに!失敗例から成功の秘訣を学べ
  4. 「残業するな」は、働き方改革には逆効果!?正しいアプローチとは
  5. 日本語Wikipedia全件データの100倍?!1億文書の検索システムをつくってみた~その結果…

編集部おすすめ

カテゴリ・テーマ特集ページ[PR]

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan