トレンドマイクロ（エバ・チェン社長）は、サイバー攻撃の早期発見を目的とする、同社製品と日本IBMの分析ソフトウェアとの連携ソリューションの提供を開始した。企業や公的機関を標的とした攻撃が高度化するなか、セキュリティベンダーの知見を他の製品と組み合わせて提供する形態が相次いでいる。（日高彰）

　企業の情報システムは、エンドポイント（端末）、サーバー、社内ネットワーク、ゲートウェイなどから構成されている。セキュリティベンダー各社は、エンドポイント向けのウイルス対策ソフトや、ゲートウェイ向けのファイアウォールなど、各部分を監視して、サイバー攻撃を検知する製品を提供している。

　しかし、情報システムの各部分を個別に監視するだけでは、検知できない攻撃が増えている。トレンドマイクロの大田原忠雄・マーケティング本部パートナーマーケティング部部長は、「例えば業務に使用する正規のソフトウェアが不正に操作された場合、ネットワークトラフィックを単体でみても、それが攻撃だとはわからないことが多い」と話す。

　この問題の解決策の一つとして、近年セキュリティ市場でよく聞かれるキーワードが「相関分析」だ。通信機器や認証サーバー、セキュリティ製品、端末などから得られるログを集約し、複数のイベントの関係性を分析することで、サイバー攻撃や内部からの情報漏えい、あるいはそれらの兆候を発見できる。

　ただし、マルウェアそのものを発見するウイルス対策ソフトなどと異なり、相関分析は不正の「疑いがある」、いわばグレーな挙動を検知する手法だ。そのため、分析ソリューションがアラートを発した際、それが本当にサイバー攻撃によるものなのかは、ユーザーや運用サービス事業者が個別に判断する必要がある。分析の精度が低いと、アラートは大量に発生するものの誤検知が多く、運用の手間がかかるだけで効果が得られないという事態になりかねない。


　そこでトレンドマイクロは、IBMのセキュリティ分析ソフト「Security QRadar」と、同社のネットワーク監視アプライアンス「Deep Discovery Inspector（DDI）」を連携。ログデータにリスクの深刻度を付加した情報をQRadarに渡すことが可能となり、QRadarでは、トレンドマイクロのセキュリティ知見を生かした高精度な相関分析が行える。

　トレンドマイクロの徳永信幸・マーケティング本部フィールドマーケティング部部長は、DDIとQRadarの連携のメリットについて、「従来は、“グレー”でしかなかった分析結果を、“黒”または“白”に近づけることができる」と説明。分析の精度を高め、運用負荷の低減や、より早期の脅威発見・対処が実現されるとしている。第1弾パートナーとして、SCSKが「DDI×QRadar連携サービス」の名称で構築サービスを提供しており、今後さらにパートナー企業を拡大していく予定だ。

　セキュリティ市場では、IIJがシマンテックの脅威データベースと連携した分析サービス、三井物産セキュアディレクションがウェブルートの脅威情報クラウドを活用した監視サービスを開始するなど、セキュリティ専門ベンダーの知見と他の製品・サービスを組み合わせて提供する例が増えている。セキュリティ専門ベンダーは技術やノウハウの外部提供先拡大を指向する一方、SIerやサービス事業者は、自社のソリューションに投入する高精度のセキュリティ情報を求めており、このような形態の協業は今後も拡大すると考えられる。