AIや機械学習でSOC運用の自動化を実現

 インフォメーション・ディベロプメントは4月11日、米SeceonのAIや機械学習を組み合わせたセキュリティソリューション「Seceon (セキオン)OTM」の販売を開始した。Seceon OTMは、リアルタイムで脅威を検知し、分析結果を可視化して具体的な対応策をわかりやすく表示する。これにより、従来のSOC(Security Operation Center)における運用の自動化に貢献し、セキュリティ対策コストの大幅な削減を実現する。

AI・機械学習でリアルタイム検知「SoC-in-a-Box」で運用を自動化

201705261523_1.jpg

福居一彦
サイバー・セキュリティ・
ソリューション(CSS)部
ビジネスディベロプメント
ディレクター

 インフォメーション・ディベロプメントは、米Seceonとの独占販売契約を今年1月に締結。満を持して発売したのがSeceon OTMだ。

 Seceon OTMは、AIや機械学習、外部の脅威情報、ビッグデータの高速解析など、さまざまな機能や脅威情報の分析を組み合わせることで、ネットワーク内の状況を把握して脅威を検知することができる。また、分析結果をわかりやすく表示するだけでなく、具体的な対応策を提案してくれる。

 「米Seceonは2015年設立のベンチャー企業だが、Seceon OTMはすでに多くの受賞歴をもち、米国では銀行や保険、教育、医療、小売りなど、幅広い業種・規模の50社以上の企業に導入されるなど、高く評価されている」と福居一彦・サイバー・セキュリティ・ソリューション(CSS)部ビジネスディベロプメントディレクターは語る。
 Seceon OTMが掲げるのは「SoC-in-a-Box」。つまり、運用を自動化できるプライベートSOCの実現だ。これまでSOCの構築・運用には、脅威の分析ができる専門の技術者による24時間365日のオペレーションが不可欠で、コストもかさむという課題があった。
 
201705261523_2.jpg
 
201705261523_3.jpg

フレデリクソン・ローゲル
サイバー・セキュリティ・
ソリューション(CSS)部
ビジネスディベロプメントチーム
エンジニア

 「従来のログを解析するソリューションでは、検知に時間がかかるうえ、情報漏えいやなりすましまでは、検知できない。だが、Seceon OTMは、機械学習でネットワークの正常な通信状態を学習しておき、AI技術で危険な兆候を相関分析することができる。そして、プログラムの振る舞いからリアルタイムに脅威を検知することで、被害を最小限に抑えることができる」とフレデリクソン・ローゲル・CSS部ビジネスディベロプメントチームエンジニアは解説する。

 Seceon OTMでは、制御・収集エンジン(CCE)が社内ネットワークのファイアウォール、ルータやスイッチ、サーバーからリアルタイムに情報を収集している。また、グローバル脅威情報(毎日更新)とも連携しており、それら情報は分析・ポリシーエンジン(APE)で分析し、結果をダッシュボードに表示する。

 「特徴的なのは、脅威を可視化するだけでなく、対応の完了まで重要度が高い順に脅威情報を一行で表示するため、重要な情報が埋もれて、見落とされることがないという点だ。検出した脅威、その原因、実施すべき対策については、専門用語ではなくシンプルでわかりやすい言葉で表示するので、高い専門知識がない運用担当者でも、状況を理解して適切な対処ができる。これにより、従来は手作業で行っていたSOC運用の多くを自動化できるため、コストと人員を大幅に削減できる」とローゲルエンジニアは強調する。

SIEMよりリアルタイム検知に向くさまざまな環境での運用に対応

 企業内のネットワーク分析では、SOCやCSIRT(インシデント対応チーム)がSIEM(Security Information and Event Management)を採用しているケースも少なくない。

 「SIEMが収集するのは、さまざまな機器のログ。そのためリアルタイム検知より、過去のインシデントを調査するデジタル・フォレンジック向きだ。一方、Seceon OTMは外部の脅威情報を含め、SIEMよりも広範なデータを収集しており、リアルタイム検知に特化している。しかも、チューニングも運用スキルも不要だ」とローゲルエンジニアは違いを説明する。

 Seceon OTMはクライアントへのエージェント配布が不要で、IoTデバイスのセキュリティ対策にも容易に活用できる。また、CCEとAPEを1台のハードウェアで運用する標準構成のほか、複数の拠点にCCEを配置して本社のAPEで分析するという他拠点構成、さらにはクラウド構成にも対応するなど、さまざまな環境で運用ができる点もメリットだ。

 導入は、インフォメーション・ディベロプメントのスタッフがユーザー環境に応じて要件の調整を行う。基本的にユーザー側のインフラのプロビジョニングは不要で、4時間程度でインストール作業が完了する。今後は、アプライアンスモデルの提供も検討していくという。

 4月の販売開始から反響は多く、すでに複数のユーザーからのトライアル導入の要望があることから、同社では評価マシンを1か月間無償で貸し出している。

 「技術トレーニングも実施してパートナーの方々をしっかりサポートしていくので、多くのSIerの方々に評価マシンを活用していただきたい。トライアル導入された方々からは、一度使い始めると、もう手放せなくなるという評価の声をいただいている。また、Interop Tokyo 2017に出展して、実際に脅威を検出するデモを実施するので、ぜひ、当社のブースに足を運んでほしい」と福居ディレクターは呼びかける。
 
「Interop Tokyo 2017」に出展します。
ブース番号は「6M12」。ご来場の際は、ぜひお越しください。