いま企業に必要とされるSIEMソリューション ~IBM QRadarを改めて見直してみる
7~8年前にSIEM製品が出始めたとき、まだ日本企業では情報資産に対するネットワークセキュリティ対策やWebサイト防御対策が全盛で、「防御を超えられたときにどうするか」、という今では当たり前となった課題を検討する企業は大企業や官公庁に限られたことでした。
IBM QRadarがIBM社から販売された当初、パートナー向けセミナーに参加してこれが今後重要になると考え、2015年から当社では、導入だけではなく、SIEMの監視やアナリスト分析をサービス化してきました。
今から考えると、当時からQRadarのテンプレートには、Active Directoryを乗っ取られる活動の監視や、ファイルサーバーやクラウドストレージからのデータ漏洩、、LinuxやWindows OSのアカウント乗っ取りを監視するロジックが含まれていました。
では当時からそれらをフル活用されていたかというと必ずしもそうではなく、原因はいろいろ考えられますが、コストが非常に高かったことが一番の要因だったと思います。
当時はそれらのルールをお客様の固有環境に移植するためにコンサルテーションが必要となり、場合によってはネットワーク設計がかかわり、そして一番の要因としてはライセンスコストがあげられます。
これはどのSIEM製品にも言えることですが、取り扱いデータ量(QRadarでは1秒当たりのデータ取扱量)によってライセンス料が上がっていくため、予算として将来コストを読みにくいということや、Active Directoryの膨大なログ量を取り込むと非常に高い費用を支払う必要がありました。
セキュリティ対策予算が今以上に限られていた当時の日本企業では効果的に利用するための予算を確保できる企業は限られていたのではないかと思います。
現代に戻っていまの日本のセキュリティ対策事情を見てみると、非常に多方面にわたって対策製品が出てきています。
エンドポイントセキュリティでは、NGAVからEDRまで、昔から提供している企業もありますが、新しい製品も次々に出てきており、ゼロトラストの概念を実現するための総合的なセキュリティソリューション、Secure Web Gateway、パブリッククラウドによるシンクライアント提供、Active Directoryに対するセキュリティ監視製品など、ランサムウェア被害が日本でも増加するに従い、セキュリティ製品も次々に新しいものが出てきています。
企業で採用されるセキュリティ製品が増え、それを運用する人件費、運用ベンダーによる監視コストを考えると、改めて監視の統合を検討する企業が増えるのではないかと考えています。セキュリティ人材の教育に苦労している企業が非常に多いことを見ても企業の中ですべてを運用するのは難しいのではないでしょうか?
その時に必要となるのがSIEM製品と、ノウハウを持ったセキュリティ運用ベンダーではないかと思います。当社でもEDR製品のマネージドサービスをご利用いただくお客様が非常に増えていますが、エンドポイントセキュリティ対策が進めば進むほど、統合監視の必要性を感じる企業も増えているように感じます。
企業にセキュリティ対策製品が増えたことで、取込データのコントロールもしやすくなってきています。Active Directoryの生データを取り込む必要がなく、ネットワーク機器のトラフィックログも必要最低限のものだけを取得すればよいのであれば採用可能な企業も増えてくるのではないかと思います。
(あとは各社のSIEM製品のデータ量課金方式が見直されたら急速に活用が広がると思いますがいかがでしょう?)
IBM QRadarでは、QRadar on Cloudなどクラウドサービス化することで利用しやすいサービス形態も取り入れてきています。また当社のように導入期間とコストを抑えて、運用しながらルールを強化していく形式にすることで初期投資を抑える提案もあります。
今後のセキュリティ運用の統合化に備えて、改めてQRadarを見直してみることでセキュリティ運用課題の解決につながる可能性があります。
ご検討の一助になれば幸いです。
以上