NI+Cは、サーバ、ネットワークなどに対するセキュリティの対策状況を洗い出すセキュリティ対策マップを作成し、既に取り組んでいる入口対策、出口対策に加えて、企業ネットワーク内通信の監視や脅威の活動とセキュリティリスクを可視化する内部対策を強化する必要があると判断し、DDIとQRadarを導入したという。
DDIとQRadarが連携することで、より高度なログの自動分析を行い、IT管理者の監視運用の工数低減、脅威の早期発見および対処が可能となった。これにより、以前は攻撃の予兆があると、担当者が複数製品のログを集め、手作業で整理して状況を把握していたが、現在は不審な通信の検知から、問題箇所の特定を迅速かつ効率的に行えるため、工数低減と安全性強化の両立につながっているという。
今回のソリューションを構成する要素は次のとおり。
・「Deep Discovery Inspector」
DDIは、気付くことが難しい標的型サイバー攻撃やゼロデイ攻撃をネットワーク上の振る舞いから見つけ出し、早期に対処し被害の深刻化を防ぐための対策製品。攻撃の初期段階から内部の拡散、外部への通信に至るあらゆる攻撃フェーズにおいて、不正なファイルや通信の検知に加え、管理ツールを悪用した攻撃まで発見する。
DDIは遠隔操作用サーバ(C&Cサーバ)の通信をブロックすることに加えて、他のトレンドマイクロ製品で利用可能なカスタムシグネチャを自動生成し、端末上での対処を可能にする。
・「IBM Security QRadar SIEM」
ネットワーク全体に分散されたデバイス、エンドポイントおよびアプリケーションからの多数のログ・イベントとネットワーク・フローのデータを統合する。さらに、生データを正規化し、関連付けてセキュリティの攻撃を識別、先進的なセンス分析エンジンを使用して通常の行動を基準とした異常を検出し、巧妙な脅威を明らかにして誤検出を除去するという。
・「Deep Discovery Inspector」と「IBM Security QRadar SIEM」の連携
QRadarを用いたDDIのログ解析にあたって「IBM Security App Exchange」からダウンロード可能なDDI用のログ解析テンプレートを活用できる。これは、DDIのログをQRadarにどのように解釈させるかを定義したテンプレートになる。
トレンドマイクロのセキュリティリスク分析基準をQRadarにテンプレートという形で搭載した。これにより、セキュリティ専門家の知見を活用したリスク分析がQRadarで施されるため、脅威の早期発見や早期対処につなげることができる。
・「IBM Security App Exchange」
IBMは、セキュリティ・ビジネス戦略の1つとして「コラボレーション」を掲げている。セキュリティ業界全体で専門知識を共有することで、巧妙化が著しい攻撃の先手を打つためのイノベーションを加速すべく、IBMのセキュリティ・テクノロジーに基づいてアプリケーションを作成および共有できるマーケットプレイスとして2015年12月に「IBM Security App Exchange」を発表した。
