チェック・ポイント・ソフトウェア・テクノロジーズは2月8日,SIM(Security Information Management)分野の新製品「Eventia Analyzer」を3月中旬に出荷すると発表した。マルチベンダーのネットワーク/セキュリティ製品が出力したログを自動的に収集し,各イベントの相関関係を分析するソフトである。特徴は,単にセキュリティ上の脅威を検出するだけではなく,検出内容に応じて自動的に対策を実施できること。
一般にネットワーク管理者やセキュリティ管理者は,ファイアウォール製品や侵入検知/防御製品などが出力した警告イベントなどをトリガーに,各種製品のログなどを調査/分析し,脅威の有無を調べ,必要に応じて対策を講じる。だが,警告イベントには誤報が少なくない上に,警告イベントとログに記録された痕跡を関連付ける作業に手間がかかるという問題があった。「まるで,枯れ草の中から針を探し当てるような作業を強いられている」(技術部長 卯城大士氏)。Eventia Analyzerは,こうした一連の作業を自動化する。これにより,管理者の手間が減るだけではなく,複数のイベントやログを漏れなく関連付けられるために分析の精度が上がり,脅威の見落としも防げる。
Eventia Analyzerは,4つのコンポーネントで構成される。(1)各種製品が出力したログを収集するための「Log Server」,(2)ベンダー独自のログを共通形式に変換し,重複などを取り除いて相関関係を洗い出す「Analyzer」,(3)セキュリティ上の脅威を検出してレポートする「Eventia Server」,(4)レポートを参照する「Eventia Client User Interface」(写真),である。
(2)のAnalyzerで分析できるログ形式は,同社製品以外に,ファイアウォールではジュニパーネットワークスとシスコシステムズの製品,侵入防御ではインターネット セキュリティ システムズの製品と無償配布されている「snort」,Webサーバーでは「Apache」,ほかに「syslog」などがある。これらのログを統合解析し,(3)のEventia Serverで,未許可のスキャン/エントリ,サービス不能攻撃(DoS),異常なトラフィックといったセキュリティ・イベントを検出し,レポートにまとめる。また,あらかじめ設定したルールに従って,同社のファイアウォール製品「FireWall-1」や検疫製品「InterSpect」の設定を変更し,パケットをドロップしたり,セグメントを閉鎖したりすることが可能。生成されたレポートは,(4)のEventia Client User Interfaceで閲覧できる。セキュリティ・イベントの種類別や時系列順で表示し,深刻なイベントについては掘り下げてログを参照することも可能だ。
価格は,ログの収集対象となるデバイス数によって異なる。5デバイスまで使えるライセンスで288万円(税抜き)。ただし5デバイスの場合,同社のセキュリティ製品のポリシーを統合管理するモジュール「SmartCenter」の数が1台に限られる。例えば東京と大阪など複数のサイトにそれぞれSmartCenterを配備し,異なるポリシーを定義している場合には,5デバイスのライセンスだとどちらかのポリシーとしか連携できない。デバイスの数が6台以上の場合や,SmartCenterの数が多い場合は,25デバイスや100デバイスのライセンスが必要。100デバイスの価格は1500万~1800万円程度になると見られる。
