オープンソースを活用して膨大な量のログデータを高速に解析するSIEM――GRCS、MapR:@ITセキュリティセミナー2018.6-7
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、GRCSとマップアール・テクノロジーズの講演「インシデント検知への投資を最適化! 機械学習を活用した新SIEMソリューション」の内容をお伝えする。
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、GRCSとマップアール・テクノロジーズの講演「インシデント検知への投資を最適化! 機械学習を活用した新SIEMソリューション」の内容をお伝えする。
企業はサイバー攻撃に対してさまざまな防衛手段を講じてはいるが、攻撃者はずる賢く、また執拗(しつよう)に攻撃してくる。このため「いつかは攻撃者が防御を突破する可能性を前提にして対策を講じないといけない」と、GRCS マーケティング部 執行役員兼CMOの向井純太郎氏は指摘した。
その手段として注目を集めているのが、さまざまなログを集約、解析して侵入を検知する「SIEM」(Security Information and Event Management)だ。ただ、SIEMを活用するには、導入コストだけではなく、ルールのチューニングの煩雑さや増加する一方のログ容量にどう対応するかといった課題も浮上している。
GRCSではこうした課題を解決すべく、「MapR」をはじめとするオープンソースソフトウェア(OSS)を採用してコストを最小化し、さらにAIの力を活用して脅威検知ルールの作成、修正を支援する「SIEM.AI MT」をリリースした。
「内部からの情報流出や外部からの不正侵入を検知するルールの作成、導入、運用をAIで支援する。ビッグデータの時代において、膨大な容量のデータとどのように向き合っていくかは、今後の重要な課題であり、真剣に考えなければいけない。また、高度化する攻撃に限られたリソースで対処するには、AIのような最新技術の活用が重要だ」(向井氏)
また、マップアール・テクノロジーズ ソリューションエンジニアの板垣輝広氏も「大量のログにどう向き合うかがポイントだ。従来型データベースでも処理できなくはないが、コストやリアルタイム性といった要件を満たすのが難しい」と指摘。その観点で、大量のログ分析において注目を集めているのが分散ファイルシステム、分散処理フレームワークから成るOSSの「Apache Hadoop」ベースの技術だ。
MapRはそのHadoopディストリビューションの一つだ。「MapR-FS」として独自にファイルシステムを書き直すことで、ストレージ本来のI/O性能を引き出し、より高速で安定した処理を実現する。
板垣氏は、MapRの技術を用いてログを蓄積し、機械学習を活用して分析、レポートを行っているNASDAQの例を紹介し、「GRCSも、こうしたワールドワイドで実績のある形と同じ使い方をしている。MapRの特性を生かし、性能と可用性、コストパフォーマンスを両立させたソリューションだ」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- MapRの最新版「5.2.1」、Spark 2.1との連携を強化した「MapR Ecosystem Pack 3.0」がリリース
マップアール・テクノロジーズはビッグデータ解析に向けたデータ基盤の最新版「MapR 5.2.1」および「MapR Ecosystem Pack 3.0」をリリース。安定性、パフォーマンス、セキュリティ機能を強化した。 - MapR、Docker向けの統合データ基盤「MapR Converged Data Platform for Docker」を発表
MapRがDocker対応の統合データ基盤「MapR Converged Data Platform for Docker」を発表。コンテナアプリケーションの開発/運用で課題となる「データの永続性の欠如」に対応した。 - MapR、Dockerに対するデータサービス機能追加で統合データ基盤としての役割強化
米マップアール・テクノロジーズ(以下、マップアール)は2016年3月9日(米国時間)、同社の「Data Convergence Platform」で、Dockerからの永続的なデータアクセス機能の追加、およびApache Myriadの実装を発表した。