「不明」だったインシデントの経緯をパケットキャプチャで明らかに、日本IBM：「QRadar」に新モジュール追加

　日本IBMは2014年5月8日、ログ収集・解析やリスク管理、脆弱（ぜいじゃく）性管理といった機能を提供するセキュリティ製品の新バージョン、「IBM Security QRadar V7.2.2」を発表した。新たに、フルパケットキャプチャを行うモジュール「IBM Security QRadar Incident Forensics」を追加し、セキュリティインシデントの原因調査を支援する。

　IBM Security QRadarは、企業内のシステムに存在する脆弱性やネットワークフローの情報、各種ログデータなどを収集、解析し、状況を可視化するツールだ。収集したデータの相関分析を行い、脅威に関する情報を導き出して警告する「インテリジェンス」を提供することが特徴という。新バージョンでは、GUIの日本語化、新たなオープンAPIのサポートといった改良が加えられている。

　今回、新たに加わったIBM Security QRadar Incident Forensicsは、ネットワークを流れるパケットを全てキャプチャし、ファイルを後から再構成できるようにする、ネットワーク・フォレンジック用モジュールだ。パケット収集処理を行う「QRadarパケット・キャプチャー」と、ファイルの再構成処理などを行う「QRadar Forensicsモジュール」で構成されている。マルウェアの侵入や情報漏えいなどが発生した際に、メールの添付ファイルや動画などを再構成することで、何が原因となってどんな被害が生じたかを調査し、エビデンスとして活用できるようにする。

　同社のソフトウェア事業 セキュリティーシステムズ事業部 テクニカルセールス＆ソリューションズ 部長 矢崎誠二氏は、「2013年に発生したセキュリティインシデントのうち、20％はDDoS、13％はSQLインジェクションだが、最も多いのは46％を占める『不明』というもの。外部のサイトなどに情報が貼り付けられて発覚し、慌てて調べても、一体どうして侵入されたのかが分からないケースが多いということだ」と述べ、IBM Security QRadar Incident Forensicsは、その「分からない」部分を明らかにする手助けをすると説明した。

　かつてJ-SOX法を機に、フルパケットキャプチャによるネットワーク・フォレンジック機能導入の機運が盛り上がった時期もあったが、大量のストレージが必要となる上、膨大な記録の中から有用な情報を抽出する作業が困難であることなどから、広く普及するには至らなかった。矢崎氏は、「今では格段にハードウェアの性能が向上しているため、当時の課題は解決できる」と述べた。IBM Security QRadar Incident Forensicsではさらに、パケット情報を記録すると共に、IPアドレスやプロトコル情報などをインデックス化し、高速に検索できるようにする仕組みも実装しているという。

　「攻撃を水際で阻止する努力は必要だが、ゼロデイや人の脆弱性を突く攻撃が横行している今、それだけで全ての攻撃を阻止することはできない」と矢崎氏は指摘し、何が起こったかを突き止めるフォレンジック調査機能の重要性を強調した。

　IBM Security QRadar V7.2.2の参考価格は最小構成で4529万6000円。2014年5月16日から提供を開始する。