それにもかかわらずサイバーセキュリティチームおよびサイバーセキュリティのリーダーや専門家は、人員削減や予算削減の施策にも対応を強いられているのが現状です。

*2. ISC2 CYBERSECURITY WORKFORCE STUDY「How the Economy, Skills Gap and Artificial Intelligence are Challenging the Global Cybersecurity Workforce 2023」

ダウンロード(PDF 3.3MB)

複雑なIT環境が脅威の迅速な把握と封じ込めを困難に

DX の推進や新型コロナへの対応によるワークスタイルの変化はクラウドサービスの利用を急拡大させるとともに、複数の異なるコンピューティング環境を組み合わせて利用するハイブリッドクラウドや IoT によるネットワークを通じたモノとの相互の情報交換などが入り組んだ複雑な IT環境を作り出しています。

そこでは従来のように社内外のネットワークの境界で脅威の侵入を食い止めようとする方法が通用せず、脅威の迅速な把握と封じ込めを困難にしています。

サイバー攻撃はそこに付け込み、攻撃対象をテレワーク環境下のエンドポイントやクラウド、さらに関係会社や関連会社を含めたサプライチェーン全体にまで拡大しています。
手法もフィッシングや不正ログイン、脆弱性を突いた不正侵入など、巧妙化が増す一方です。

しかも攻撃側は組織化し、高度な知識とスキルを備えた多数のハッカーと最先端のサイバー攻撃ツールでサイバー攻撃の手法を進化・洗練化させているため、サイバー攻撃では攻撃側が圧倒的に優位なことも攻撃を防ぐのを難しくしています。

一方防御側である企業や組織は、対策に割ける人材や資金に限りがあるだけではなく技術面での対抗や怪しいメールの開封防止など、人為的なリスクにも対応しなければなりません。
これはまさに反撃の方法がないワンサイドゲームで、ひとたび不正侵入されれば密かに攻撃の足場が築かれ、そこから情報流出が継続する恐れもあります。

企業や組織は、社会的な信頼やブランド価値の損失、賠償の発生、原因追及や対応のための事業の停止など、甚大な被害を想定してセキュリティ対策に臨む必要があるといえるでしょう。

その打開に向けて重要となるのが「脅威の侵入を前提としたセキュリティ対策」です。

統制された最新セキュリティスイート「IBM Security QRadar Suite」

高度なセキュリティ分析と即時の対応を実現し、迅速かつ正確、そして効率的に脅威を発見し企業を守ることに特化することでセキュリティ担当者を支援するのが、統合型セキュリティ・インテリジェンス・ソリューション（脅威検知・対応スイート製品）「IBM Security QRadar Suite（以下 QRadar Suite）」です。

QRadar Suite は、管理GUI を提供する共通コンポーネント「Unified Analyst Experience（UAX）」を中枢に以下の機能を提供しています。

• エンドポイントエコシステム全体の状況を詳細に把握できる「QRadar EDR」
• 膨大な量のログやイベントを一元的に管理しリアルタイムに分析し脅威を発見する「QRadar SIEM」
• セキュリティインフラ全体の自動化とオーケストレーションを支援する「QRadar SOAR」
• 統合的にログ管理を行いそのログを高速検索することでセキュリティ・アナリストの作業負荷を軽減する「QRadar Log Insights」

QRadar Suite を活用することで、リアルタイムの脅威検知や膨大なデータの効率的な解析、自動化された対応、セキュリティイベントの可視化など、効果的なセキュリティ運用を支援して企業のセキュリティリスクを大幅に低減できます。

^{図1. IBMの脅威対策ソリューションQRadar Suite}

SoCにおけるセキュリティインシデント対応を効率化する統合ログ検索ソリューション「UAX」

セキュリティインシデントの調査を自動化し推奨する対処の内容も提示することで、人材不足に対応するとともに複雑な環境でもログを集約せず迅速に情報を収集できるのが、統合ログ検索ソリューション「Unified Analyst Experience（UAX）」です。

UAX は、QRadar Suite にバンドルしスイートを構成する各種ツールに共通する統合ログ検索ソリューションとし、SoC ^*4 におけるセキュリティインシデント対応を効率化します。

セキュリティ分析担当者の声を反映して機能強化した分析のアウトプットは、相関分析から脅威を検出して優先度を提示するだけではなく SOAR と連携することで、これまで人力で行っていた調査と対応を自動化し推奨する対処の内容も提示します。

^{*4. SoC（Security Operation Center）：
24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスを行う企業内に設置されたセキュリティ部門やチーム。}

脅威の早期発見およびインシデント対応を自動化する「SIEM/SOAR」

QRadar SIEM

ネットワーク機器や UTM などのセキュリティ機器で発生する膨大な量のログを一元的に管理しリアルタイムに分析をすることで、巧妙に潜んだサイバー攻撃の可能性を可視化するのが「QRadar SIEM」（セキュリティ情報イベント管理）です。

QRadar SIEM は収集しながら分析を行う専用の「相関分析」エンジンを持っており、リアルタイムで異常な行動や攻撃を検出できるのが大きな特長です。

また UBA（User Behavior Analytics：ユーザー行動分析）や NTA（Network Traffic Analysis：ネットワークトラフィック分析）など、機械学習に対応した検知エンジンを App Exchange から追加ライセンス費用なしで提供しており、ルールでは見つけにくい内部関係者やなりすましの脅威に対応するための検知ロジックを利用することも可能です。

QRadar SOAR

セキュリティ管理者を忙殺している定型的なタスクを自動処理するとともにセキュリティインフラ全体のオーケストレーションを可能にし、サイバーセキュリティ対策の人材不足を解消し、生産性を向上させるのが「QRadar SOAR」（セキュリティ運用自動化）です。

QRadar SOAR は SIEM が特定した高精度のアラートへの対応を編成して自動化し、脅威の是正に関する洞察を提供します。

インシデント対応ワークフローの自動化およびオーケストレーションを支援し、プロセスを最適化して測定可能な方法で実行されるようにすることで、脅威の見逃しやミスを防ぎます。
その結果、処理できるインシデント数が増えるだけではなく重要性の高い問題のより深い調査も可能になり、組織全体のセキュリティ体制を広く強化することができます。

エヌアイシー・パートナーズにお任せください

エヌアイシー・パートナーズは、IBMソフトウェア/ハードウェアの認定ディストリビューターとして、QRadar Suite をはじめとする IBM製品に関するパートナー様のビジネスを強力にサポートいたします。

「お客様のニーズや要件に合わせてIBMのSWとHWを組み合わせた最適な提案がしたい」
「IBM製品の機能や適用方法についての問い合わせに適切に対応したい」
「IBM製品の特長や利点を活かしたお客様ビジネスへの最適な提案をしたい」

といったお悩みをお抱えの方は、お気軽にエヌアイシー・パートナーズへご相談ください。

お問い合わせ

この記事に関するお問い合せは以下のボタンよりお願いいたします。