日本IBMは2013年1月10日、情報システムのログデータ群や、関連するネットワーク通信キャプチャーデータを収集し、これらを総合して一元的に分析するセキュリティソフト「IBM Security QRadar」(写真)を発表した。1月11日に出荷する。米IBMが2011年に買収した米キューワン・ラボ(Q1 Labs)の製品(関連記事)である。
ログ情報を分析することによって、マルウエアや不正アクセスなどのセキュリティ上の脅威を検知する製品。著名なシステム(OS、ミドルウエア、セキュリティ機器など)のログを理解できるという。さらに、システムのログのほかに、パケットキャプチャーデータから生成するネットワークのフロー情報(NetFlow)を収集/蓄積して分析する。
最大の特徴は、個々のログデータを独立して分析するだけでなく、個々のログデータやNetFlowデータの相関を分析できることである。複数の情報を突き合わせることで、「今まで見えなかったものが見えるようになる」(日本IBM)。分析の前提知識となるポリシーテンプレートも、1000種類以上を備える。テンプレートのカスタム設計も可能だが、海外での導入企業の多くは標準のままで利用できているという。
脅威の検知方法は、プロトコル本来の動きとは異なる振る舞いや、トレンド学習によって得られた基準値とは異なる振る舞いを検知するというもの。検知した脅威は、その重要性を重み付けして提示する。
複数製品で構成するネットワークシステムとして提供
IBM Security QRadarは、大きく(1)「QRadar SIEM」、(2)「QRadar Risk Manager」、(3)「QRadar QFlow」---の3製品で構成するネットワークシステムとして販売する。
(1)のQRadar SIEMは、NetFlowなどとの相関分析機能を備えたログ分析製品。相関分析機能を持たずログ分析に特化した下位製品「QRadar Log Manager」も用意している。(2)のQRadar Risk Managerは、今後発生する脅威を予知してリスクを管理する製品。(3)のQRadar QFlowは、パケットをキャプチャーしてNetFlowデータを生成/収集/蓄積/分析する製品だ。
提供形態は、物理アプライアンス、VMware仮想アプライアンス、ソフトウエア+ISOイメージ(OSイメージ)の三つ。価格(税別)は、物理アプライアンスが、ログ分析だけの最小構成で432万4700円から、フル機能で1057万6000円から。VMware仮想アプライアンスはフル機能で226万円から。ソフトウエア+ISOイメージはフル機能で975万8000円から。
当初、「QRadar」を一部「QRader」と記述しておりました。お詫びして訂正します。本文は修正済みです。 [2013/01/29 18:45]
