既存・他社のSIEM製品と組み合わせることでお互い補える関係に
組織内の端末やシステムの操作ログを分析するツールとしてはSIEM製品が普及しているが、Intersetとは機能が異なるという。SIEMは、既知の脅威に対するリアルタイム検知のために使われ、脅威情報との照合や、想定内セキュリティシナリオでの検知に役立つ。
一方でSIEMを含む既存のセキュリティソリューションが苦手なのが内部不正、未知の脅威、そして情報漏洩だ。特に情報漏洩に関しては、SIEMを導入している企業でも漏洩事件が起こっていることから、既存のセキュリティソリューションだけでは情報漏洩のリスクを十分に低減しきれていないことがわかる。
情報漏洩の検知はIntersetが最も得意としている領域の一つで、SIEMで利用しているのと同様なログを利用するのにも関わらず、SIEMよりも効率的に情報漏洩に関する検知が可能だという。およそ30日分のログがあれば、すぐに運用を開始できるという。福田氏は「Intersetが向いているお客様は、すでにSIEMをお使いの企業様です。SIEM用のログを利用することで、スムーズな運用が開始できます。SIEM製品はMicro Focusのものだけでなく、Splunkなどの他社製品とも連携できます。また、Intersetの分析結果は、APIを介してほかのシステムと連携して使うこともできます」と述べた。SIEMで既知脅威をリアルタイムで捕らえ、Intersetで内部脅威、未知脅威、そして情報漏洩を捕らえるという適材適所の運用が可能だ。基本的にはSIEMと被らないのだという。
Intersetの分析結果から、脅威リスクの高いユーザーや端末を0から100までのスコアの高い順にリストアップした優先度リストが提供される。宮崎氏は、「Intersetの優先度リストは非常に実用的です。高品質でユーザーが実際に使えるリストを提供します。例えば、SOC(Security Operation Center)ではこれを使うことで、一次分析などの業務負担を大幅に削減することができます。初動が非常に明確になるのです」
またIntersetの重要なコンセプトは、余計なチューニングを利用者に強いず、チューニングを施さなくても十分な価値を出すということだという。先の優先度リストがチューニングレスであるとともに、検知モデルで使われるグループ比較の定義なども、教師なし学習などを使いチューニングレスであるという。
