"セキュリティ対策の足りなかったパートを確実に埋めることができ満足しています。ただ漠然と守っているだけでは得られない安心感があります"

日本情報通信株式会社
プロセス革新部 情報システム担当 担当部長 兼 情報セキュリティグループ グループ長
田部井 康宏 氏

"DDIとQRadarの組み合わせは、共に見やすい管理画面を備えており、運用管理負荷の軽減にもつながっています"

日本情報通信株式会社
プロセス革新部 情報システム担当 IT企画グループ
奥山 盛弥 氏

"DDIとQRadarは、お客さまに向けて提供していくソリューションとしても中心的な存在です。トレンドマイクロにはビジネスパートナーとしても大いに期待しています"

日本情報通信株式会社
ソリューションビジネス本部 ソフトウェア・テクニカルセールス部 第2グループ 主査
吉川 裕樹 氏

高度なネットワーク技術とシステム開発技術を持ち、ネットワークシステムインテグレーターとして顧客の課題解決に貢献する日本情報通信（以下、NI+C）。最近では「ビッグデータ」と「クラウド」の領域に注力し、多様なデータの連携、高度な解析による新たな価値の創出を支援しているほか、有力なクラウドサービスにNI+C独自の価値を付加したIaaSからSaaSまでの様々なクラウドソリューション構築を支援している。

顧客のIT環境の高度化を支援する傍ら、当然、同社自身も様々なIT投資を行っている。近年、積極的に投資を行っている領域の1つがセキュリティである。

「情報漏洩事故などの報道を目の当たりにし、リスクの高まりを感じていました。今日、多くの企業が我々と同等のエンドポイント、出入口の対策を行っているはずです。それでも攻撃を受け、被害に遭う企業が存在する。もはや既存の対策だけでは十分ではないと感じていました」と同社の奥山 盛弥氏は言う。

では、何が足りないのか。同社は自社の対策状況を洗い出し、セキュリティ対策マップを作成して検証した。その結果、必要だと判断したのが侵入した脅威の活動とセキュリティリスクの可視化である。「エンドポイントや出入口の対策をかいくぐって万一脅威が侵入してしまった後、その活動を検出した上でリスクの重大度を見極め、必要な対処を即座に行える環境が不可欠という結論に至ったのです」と同社の田部井 康宏氏は話す。

そこで、同社が導入したのがトレンドマイクロの「Deep Discovery™ Inspector（以下、DDI）」とIBMの「IBM Security QRadar SIEM（以下、QRadar）」を連携したソリューションである。

DDIは、内部ネットワークの通信を監視して、不正な通信を検出する、いわばセンサーとしての役割を果たす製品。一方、QRadarは、多様なログを集約することで、攻撃やリスクの統合的な可視化、相関分析を行うためのSIEM（Security Information and Event Management）製品である。

「複数製品のログを用いて相関分析を行い、攻撃とリスクを可視化できるのがQRadarの特長ですが、仮に既存のエンドポイント、出入口の対策におけるログだけで相関分析を行っても、『端末が感染した』『不正な外部への通信があった』といった事実がわかるだけで、内部でどういった活動があり、どこまで影響を受けている可能性があるのかなど、正確な攻撃の全容が把握できません。ネットワーク内部で脅威の動向を捕捉できるDDIのログをQRadarにインプットすることで、より有効な対策になります」と同社の吉川 裕樹氏は説明する。

また、QRadarを使いこなすためのアプリケーション群が提供されている「IBM Security App Exchange」上で、DDIとQRadarのスムーズな連携を実現するテンプレートをトレンドマイクロが用意している点も評価した。

「DDIのログをQRadarにどのように解釈させるかを定義したテンプレートです。これを利用することで、両者の連携、実装をスムーズに行うことができます。さらに、どのような予兆がどういったリスクにつながるのか、といった長年、セキュリティに携わってきたトレンドマイクロの知見が反映されており、その高い分析能力を評価しました」と奥山氏は言う。

DDIは、ネットワークスイッチのミラーポートに接続することで通信を監視し、ネットワークの可視化を実現する。通常とは異なる通信を検知することで、適切な対処を支援するほか、被害の実態把握、被害拡大の抑止が可能になる。昨今、社会的に重大な脅威として認識されている、標的型攻撃やランサムウェアなどの対応に有効な製品だ。

このネットワークにおける脅威へのセンサーとして機能するDDIを、SIEMであるQRadarと組み合わせることで、その他の製品からの情報などを組み合わせた、複合的な相関分析や統合的な可視化が可能になる。

DDIとQRadarによって、同社は、より強固なセキュリティ環境を実現した。

現場では、QRadarを使ったセキュリティ全体の監視を行いつつ、DDIからのログに気になる点があったり、ネットワーク内部のより詳しい状況を確認したい時には、DDIの管理画面を確認するといった運用を行っている。

「以前は攻撃の予兆があると、担当者が複数製品のログを集め、手作業で整理して状況を把握する必要がありましたが、現在は不審な通信の検知から、問題箇所の特定を迅速かつ効率的に情報整理でき、効率化と安全性強化の両立につながっています」と田部井氏。

強化された環境の成果はレポートの精度にも表れており、定期的に作成されるセキュリティレポートの内容が以前に比べ、格段に緻密なものになっているという。

このように、NI+Cは、DDIとQRadarによって、より強固なセキュリティを実現した。今後は、今回の成果、および、これから蓄積される運用ノウハウを活かして、顧客にも同ソリューションを提案していく考えだ。

「セキュリティ対策の難しさの1つに人手不足、運用管理負荷の問題があります。DDIとQRadarを組み合わせることで、内部も含めたセキュリティリスクの可視化を実現できる上、管理ポイントを集約できるというメリットも得られます。さらに我々の経験、ノウハウを活かしたサポートなども含めて提供していくことで、セキュリティ対策に悩むお客様の力になりたいですね」と吉川氏は力強く語った。

※ 記載内容は2017年2月現在のものです。内容は予告なく変更される場合があります。