トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長兼CEO：エバ・チェン、東証一部：4704　以下、トレンドマイクロ）と日本アイ・ビー・エム株式会社（以下、IBM）は、日本情報通信株式会社（以下、NI+C）が、標的型サイバー攻撃対策の強化のために、トレンドマイクロのネットワーク型脅威対策製品「Deep Discovery Inspector（以下、DDI）」とIBMの「IBM Security QRadar SIEM（以下、QRadar）」を導入したことを発表します。QRadarを用いたDDIのログ解析にあたって「IBM Security App Exchange」からダウンロード可能なDDI用のログ解析テンプレートを活用しました。

昨今、情報漏洩などの報道を受け、企業は標的型サイバー攻撃に対する備えを強化することが求められており、NI+Cではその重要性を強く認識していました。NI+Cは、サーバ、ネットワークなどに対するセキュリティの対策状況を洗い出すセキュリティ対策マップを作成し、既に取り組んでいる入口対策、出口対策に加えて、企業ネットワーク内通信の監視や脅威の活動とセキュリティリスクを可視化する内部対策を強化する必要があると判断し、DDIとQRadarを導入しました。DDIとQRadarが連携することで、より高度なログの自動分析を行い、IT管理者の監視運用の工数低減、脅威の早期発見および対処が可能となりました。これにより、以前は攻撃の予兆があると、担当者が複数製品のログを集め、手作業で整理して状況を把握していましたが、現在は不審な通信の検知から、問題箇所の特定を迅速かつ効率的に行えるため、工数低減と安全性強化の両立につながっています。

図１：　DDIとIBM QRadarSIEMの連携ソリューション

■「Deep Discovery Inspector」の概要
DDIは、気付くことが難しい標的型サイバー攻撃やゼロデイ攻撃をネットワーク上の振る舞いから見つけ出し、早期に対処し被害の深刻化を防ぐための対策製品です。攻撃の初期段階から内部の拡散、外部への通信に至るあらゆる攻撃フェーズにおいて、不正なファイルや通信の検知に加え、管理ツールを悪用した攻撃まで発見します。DDIは遠隔操作用サーバ（C&Cサーバ）の通信をブロックすることに加えて、他のトレンドマイクロ製品で利用可能なカスタムシグネチャを自動生成し、端末上での対処を可能にします。

「Deep Discovery Inspector」の詳細はこちらをご覧下さい。
https://www.trendmicro.co.jp/jp/business/products/ddi/

■「IBM Security QRadar SIEM」の概要
ネットワーク全体に分散されたデバイス、エンドポイントおよびアプリケーションからの多数のログ・イベントとネットワーク・フローのデータを統合します。 さらに、生データを正規化し、関連付けてセキュリティの攻撃を識別、先進的なセンス分析エンジンを使用して通常の行動を基準とした異常を検出し、巧妙 な脅威を明らかにして誤検出を除去します。

■「Deep Discovery Inspector」と「IBM Security QRadar SIEM」の連携について
QRadarを用いたDDIのログ解析にあたって「IBM Security App Exchange」からダウンロード可能なDDI用のログ解析テンプレートを活用できます。これは、DDIのログをQRadarにどのように解釈させるかを定義したテンプレートです。トレンドマイクロのセキュリティリスク分析基準をQRadarにテンプレートという形で搭載しました。これにより、セキュリティ専門家の知見を活用したリスク分析がQRadarにて施されるため、脅威の早期発見や早期対処につなげることができます。

■「IBM Security App Exchange」
IBMは、セキュリティ・ビジネス戦略の一つとして「コラボレーション」を掲げています。セキュリティ業界全体で専門知識を共有することで、巧妙化が著しい攻撃の先手を打つためのイノベーションを加速すべく、IBMのセキュリティ・テクノロジーに基づいてアプリケーションを作成および共有できるマーケットプレイスとして2015年12月に「IBM Security App Exchange」を発表しました。