未知の脅威も相関分析であぶり出す、NTT Comが新セキュリティサービス発表：NEWS

未知のマルウェアや悪質なWebサイトを早期に検知したい。こうしたニーズにログの相関分析などの仕組みで応えるサービスをNTTコミュニケーションズが発表した。

[鳥越武史，TechTargetジャパン]

　NTTコミュニケーションズ（以下、NTT Com）は2013年2月7日、マネージドセキュリティサービス「総合リスクマネジメントサービス」を発表した。セキュリティ製品やシステムのログの相関分析で未知／既知のマルウェアを検知したり、不正なURLを割り出す「セキュリティ情報イベント管理（SIEM）」をサービスとして提供。セキュリティリスクの調査や改善、モニタリングのコンサルティングと合わせて提供する。2013年3月に国内と米国で提供開始。

　総合リスクマネジメントサービスは、ファイアウォールや侵入防御システム（IDS）といったセキュリティ機器をリモートで運用するマネージドセキュリティサービスである。特徴は、セキュリティに関する情報を収集する仕組みに工夫を凝らしたことだ。具体的には、セキュリティ製品などのログを相関分析する「セキュリティ情報・イベント管理エンジン（SIEMエンジン）」と、閲覧するとマルウェアに感染するといった悪質なWebサイトのURL／IPアドレスをリスト化した「セキュリティ情報データベース」の2つの仕組みを持つ。いずれも開発はNTT研究所。標的型攻撃など、未知の攻撃手法が利用されるサイバー攻撃に備え、セキュリティ情報の管理体制を強化するのに役立つ。

　SIEMエンジンは、ファイアウォールやアンチウイルスソフトウェアといったセキュリティ製品、サーバやネットワーク機器といったシステム要素からログを収集。サイバー攻撃に特有なログの時系列変化のパターンを基に、マルウェアによる不正通信や悪質なWebサイトを割り出す「相関通信時系列分析エンジン」、マルウェア感染端末が共通してアクセスしているWebサイトは悪質である可能性が高いという「共起性」を利用し、悪質な可能性のあるWebサイトをリスト化する「ブラックリスト共起分析エンジン」で構成される。

　セキュリティ情報データベースは、同社が世界中のネットワークに設置するおとりシステム（ハニーポット）から収集した情報とマルウェア解析技術を利用し、悪質なWebサイトのURL／IPアドレスをリスト化する。単純にURLをリスト化するだけでなく、どのWebサイトを踏み台にし、どのWebサイトでマルウェアを配布したかといった、Webサイト同士の関連性を含めてデータベースに保持する。

　SIEMには、日本ヒューレット・パッカードの「HP ArcSight ESM」、日本アイ・ビー・エムの「IBM Security QRadar」といった市販製品もある。こうした市販製品には、ブラックリスト共起分析エンジンのような、共起性を利用して悪質なWebサイトを推測する仕組みがないとNTT Comは説明する。一方でIBM Security QRadarは、ログに加えてLANを流れるパケットも含めた相関分析を可能にしているが、総合リスクマネジメントサービスのSIEMエンジンにはこうした仕組みはない。ただし、今後の機能拡張でパケットを含めた相関分析を可能にするという。

　国内と米国で提供後、ヨーロッパやアジア各国でも提供する。料金は個別見積もりだが、「Bizマネージドセキュリティサービス」といった同社の既存のマネージドセキュリティサービスと比べて半額程度から利用できるという。