日本IBMは2014年2月26日、情報システムの監視/分析によってセキュリティ上の問題を検知し、対処方法を含めて担当者に伝えるSIサービス「IBM Managed Security Information and Event Management」(IBM Managed SIEM)を発表した。3月18日から提供を開始する。
IBM Managed SIEMは、ユーザー企業のCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の活動を支援するサービス。ユーザー企業内にセキュリティ対策の仕組み/体制を構築するとともに、ユーザー企業に代わって日常的に情報システムを監視/分析する。最終的に問題に対処するのはユーザー企業だが、問題の検知や対処に必要な情報を日本IBMが収集する。
インシデントを監視/分析する手段として、情報システムのログデータ群やネットワーク通信キャプチャーデータ(NetFlow)を収集して分析するソフト「IBM Security QRadar」を利用する(関連記事:日本IBM、ログとNetFlowの相関分析で脅威を検知するソフトを出荷)。同ソフトの特徴は、個々のログデータやNetFlowデータを突き合わせた相関分析ができること。単独のログでは見えてこないインシデントの兆候が見えるようになる。
サービスは大きく、監視システム/体制の導入フェーズと、運用フェーズで構成する。導入フェーズでは、ユーザー企業へのヒアリング(現状分析や要件定義)を経た上で、IBM Security QRadarの導入と、監視体制を構築する。運用フェーズでは、日本IBMのエンジニアが、IBM Security QRadarを使って日常的に情報システムを監視/分析し、発生したインシデントや分析内容、対処内容などを、エンドユーザーにも分かりやすい形で伝え、指示を仰ぐ。
サービスの提供価格(税別)は、導入フェーズが個別見積もり。運用フェーズが月額349万円(ログ情報ソース100台から、それぞれ1秒間に10件のイベントが上がると想定した場合)。
