次世代のインテリジェンスを搭載して「マグニチュード」で示す
本当に危険な兆候というのは一定の経験やノウハウを持つ専門家でないと検知は難しいとされてきた。複数のデータを横断的に集約し、通常では起こりえない異常を見つけ出して判断しないとならないからだ。単純にブラックリストに合致するかどうかだけではすまない。
「ブラックリストの情報は1時間おきに変わります。社内の人間がマルウェアに感染したから調べてほしいと、1ケ月前のURLやIPの情報をいただいても意味がありません。その時点でのブラックリストで調べないとダメなのです」(中田氏)
QRadarはSIEMに加えて、高度なセキュリティーインテリジェンスも持ち合わせている。民間では最大級となるセキュリティ研究機関となるIBM X-Forceからの最新の脅威情報を取得し、検出したイベントの相関分析解析を行う。
セキュリティイベント(アカウントの不正使用、脆弱性をついた攻撃、ウィルス/マルウェアの検知など)と、ネットワークトラフィック監視(ベースラインからの逸脱〔通常とは異なる振る舞い〕、ポリシー違反、セキュリティ機器を回避する攻撃など)を組み合わせることで不審なインシデントをいぶりだす。
さらにQRadarらしい特徴となるのが脅威を「マグニチュード」で示すところだ。脅威のインパクトを総合的に評価し「マグニチュード」という単一の指標で数値化する。
「QRadarの自動化の機能に、すべてのセキュリティ機器毎のイベント情報から、危険性の情報を全部マッピングするデータベースを持っています。このデータベースが様々な指標値で判断して、重み付けを行い、マグニチュードが決められます」(中田氏)
マグニチュードはセキュリティの高度な知識がなくてもインシデントがどれだけ致命的なのかを直感的に判断できる。企業として決断を下すべき立場に「結局のところ、今はどのくらい危機的な状況なのか?」を伝えるのに有用だろう。
QFlowで不審な通信をドリルダウンで詳細まで分析
また、インシデントを詳細に分析しようとすると、担当者は往々にして生のパケットまで見て調査する必要がある。生パケットまで見るとなると、けっこうな手間だ。
「QRadarのQFlowを用いれば、ダッシュボード画面からドリルダウンして通信のペイロード情報を調査することができます」(中田氏)
例えばQRadarではマルウェア感染によるビーコン通信の可能性があるトラフィックをダッシュボードに設定して監視することができる。ネットワーク・アクティビティグラフでは通信の時間帯や頻度、宛先IPから発信先の国が割り出され、通信の内容やペイロードなどの詳細を確認できる。
HTTP通信を装いながらも通信量が異様に小さい、ヘッダがHTTPの要件を満たしていない、片方向のみのTCP通信を行うものであれば、マルウェア感染によるビーコン通信の典型的な特徴となる。QFlowではオフェンスの詳細を検知したルールと照らし合わせながら確認することができる。攻撃の裏付けができるというわけだ。
