ニュースリリース
IBM QRadar Advisor with Watson、サイバー犯罪技術の知識を拡充
TOKYO - 29 11 2018:
2018年11月29日
[米国マサチューセッツ州ケンブリッジ - 2018年11月28日(現地時間)発]
IBM(NYSE:IBM)セキュリティーは本日、IBMが開発したAIベースのセキュリティー・プラットフォームであるIBM QRadar Advisor with Watson向けに新しい機能を発表しました。この機能により、サイバー犯罪行為に関するプラットフォームの知識を拡充し、プラットフォームは、組織内のセキュリティー対応の活動から学習することが可能になります。また、IBMセキュリティーは、MITRE ATT&CKオープンソース・フレームワークも導入します。このフレームワークは、セキュリティー・コミュニティーから提供される現実世界の観察に基づき、攻撃がどのように進行し、次に何が起こり得るかをアナリストが理解できるようにするプレーブックです。
一部では、2021年までに350万人ものサイバーセキュリティー担当者が不足すると予測される中(出典:Cyber Security Ventures(英語))、セキュリティー・チームは現在、大量のサイバーセキュリティーのインシデントやアラートを効果的に分析し、対応するために必要な能力とスキルを獲得しようと懸命に取り組んでいます。IBM QRadar Advisor with Watsonは、外部のセキュリティー・コミュニティーや組織内で発生した活動の中で得られる最新のリサーチから学習しますが、このようなAIおよび機械学習のテクノロジーを利用すると、アナリストは、重大な脅威をより迅速かつ効率的に上位レベルの問題に引き上げるために必要となる、知識と自動化機能を備えることができます。
最新のリリースの一部として、IBMが新しい分析および学習のモデルを開発したことにより、IBM QRadar Advisor with Watson は、長期にわたりゆっくりと進行する攻撃パターンを識別し、お客様のローカル環境に適合させることができるようになりました。この学習ループは、アナリストとの対話やルールを加えることによって時間の経過と共にさらに学習効果が上がるため、このツールは、対応方法に関するより強固な推奨事項、およびインシデントと履歴データの一致に基づいた確実性を提供することが可能になります。
IBMセキュリティーでセキュリティー・インテリジェンス・オファリングの管理および戦略担当ディレクターを務めるクリス・ミーナン(Chris Meenan)は、次のように述べています。「セキュリティー・コミュニティーの集合知を活用するMITRE ATT&CKのような標準は、業界が進歩し、巧妙さを増す脅威にセキュリティー・チームが先回りできるようにするためには極めて重要です。敵対者の既知の策略をまとめたATT&CKフレームワークとWatson for Cyber Securityの能力を組み合わせ、最新のセキュリティー・リサーチに精通するIBM QRadar Advisorを利用すれば、あらゆるレベルのアナリストは直面している脅威により適切に対応するのに必要な知識を備えることができるようになります」
複数の点を連携させ、より決定的な脅威のエスカレーションを実現
MITRE ATT&CKは、業界中のサイバーセキュリティー専門家が提供する現実世界の事例と洞察を利用して開発された、サイバー犯罪行為に関するオープンソースのプレーブックで、脅威の進行に応じて利用される可能性のあるパターンと行動を段階的に定義しています。
ATT&CKフレームワークを利用するIBM QRadar Advisor with Watsonは、脅威の識別と脅威に関する外部リサーチの内容を提供するだけではなく、さらに、外部からの攻撃や内部の脅威がクライアントのインフラ内でどのように進行してきたかも解明できるようになりました。例えば、マルウェアが組織に侵入したばかりなのか、またはマルウェアがパスワードやクレジット・カード情報などのデータをすでに収集したのかという状況の解明です。今回追加されたコンテキストには、信頼度や、攻撃の各段階に関連する証拠も含まれます。この機能により、アナリストは、攻撃がどのように進行してきたのかを視覚化できるようになり、インシデントが脅威のライフサイクルにおいてどの段階にあるのか、また、次に何が起こり得るのかを即座に理解できるようになるため、大幅に対応の時間を短縮し、有効性を向上させることが可能になります。
IBM QRadar Advisorが提供するこのような追加の洞察によって、アナリストのスキルが向上します。また、高レベルのアナリストや脅威ハンターと同様の方法で、点と点をつなげて攻撃の全体像を把握するために、アナリストに支援が提供されます。IBM QRadar Advisorは、ATT&CKを使用して、より確実なインシデント・エスカレーション・プロセスをアナリストに推奨することもできます。これは、アナリストが、ライフサイクル内の脅威の位置付けに基づいて、直後に取るべきステップを理解するために役立ちます。ATT&CKフレームワークを利用することにより、IBM QRadar Advisorは、企業のインシデント対応計画に反映される業界標準でこのコンテキストを提供できます。
組織内の脅威に対する新しい学習モデルの適用
また、IBMセキュリティーは、Watsonによって組織内で生じている脅威の挙動とセキュリティー対応行動を学習し、コンテキスト化できるようにすることで、IBM QRadar Advisor with Watsonのインテリジェンスを深めています。
IBM QRadar Advisor with Watsonの初回リリースで、Watsonは、外部ソースから構造化および非構造化セキュリティー・データを収集し、読み取り、理解することができるようになりました。また、特定の脅威に関してすでに公表された既知の事項の理解を支援するために、アナリストがただちに利用できる関連性の高い情報を提供します。現在IBM QRadar Advisorは、顧客の環境内で実施されている行動からも学習しています(リアルタイムに発生しているイベントと過去に特定のタイプのイベントで実施された行動の両方)。IBM QRadar Advisorに以下の2つの新機能が導入されています。
- 脅威処理モデル:IBM QRadar Advisorは、組織内で発生した過去の類似のイベントに対する行動と結果に基づいて特定タイプの脅威に対するモデルを構築するために、新しいアルゴリズムを使用します。新たに調査を始めるときに、このモデルを使用して誤検出を排除し、またはマルウェア、データ漏えい、その他の特定タイプの脅威としてエスカレーションを行うべきか否かを判断するためにアナリストを支援することができます。この機能は、使用するほどますますインテリジェントになり、アナリストとの相互作用に基づいて学習し、適応します。
- 複数の調査にわたるアナリティクス:企業のセキュリティー・オペレーション・センター(SOC)内では、複数のアナリストが相互に関連する攻撃に対応していることがあります。数カ月にわたるアラートは、長期的な攻撃の一環である可能性もあります。この機能により、IBM QRadar Advisorは、コグニティブ推論を利用して複数の調査間の共通性を見つけ、作業の重複を回避して調査に役立つ詳細なコンテキストを提供するために、関連する調査を自動的にグループ化することができます。
IBM QRadar Advisorは、ネットワーク内の活動にコンテキストを追加するこのような新しい学習モデルと、セキュリティー・コミュニティーに公開されている現行のリサーチを学習するWatson for Cyber Securityの調査機能および能力を組み合わせています。この組み合わせにより、現在、アナリストは、より深く一貫した調査の推進を支援し、より迅速かつ効率的に対応するために、IBM QRadar Advisorを活用することができます。
IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM X-Force®の調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日600億件のセキュリティー・イベントを監視しています。また保有するセキュリティー関連の特許は全世界で8,000件を超えています。詳しくは、www.ibm.com/security(US)、Twitter(@IBMSecurity(英語))またはIBMセキュリティー・インテリジェンスのブログ(英語)をご覧ください。
当報道資料は、2018年11月28日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://newsroom.ibm.com/2018-11-28-IBM-QRadar-Advisor-with-Watson-Expands-Knowledge-of-Cybercriminal-Techniques(US)
Release Categories
プレスリリース、各種取材のお申込みに関するお問い合わせ先(報道関係者様専用窓口)
※報道関係者様以外からのお問い合わせは受け付けておりませんのでご了承ください。
日本IBM 広報代表
電話: 03-3808-5120
e-mail: PRESSREL@jp.ibm.com