ユーザーにして販売代理店にしてマネージドサービス提供企業、NTTデータ先端技術が語る次世代型SIEM「Exabeam」の真価

　ロレックスの腕時計をつけた販売員からオメガの時計は買う気になれないし、Apple Watchならなおさらである。

　しかし、セキュリティ製品となるとそうもいかない。良い品であることを喧伝し、販売している製品を、彼ら販売店自身が自分の会社でも使っているかというと、そうとも限らない事情が多々存在する。

　たとえば同一カテゴリのセキュリティ製品を複数扱っているかもしれないし、SMB向け、あるいはエンタープライズ向けなど、想定される規模が違うかもしれない。

　セキュリティ製品やサービスを販売する企業が、自分自身がどのようなセキュリティ製品を使用しているのか明らかにしている例は、実はあまり多くはない。

　NTTデータは、AIで駆動する次世代型SIEM「Exabeam」をグローバルを含むグループ全体で使用していることを公式に明らかにしている。

　NTTデータグループのNTTデータ先端技術株式会社は販売代理店としてExabeamの販売も行っている。自ら超大口ユーザーであり販売代理店でもあるというのは、冒頭に挙げた例えと異なり安心できるし、何よりも使ってみて納得できる製品を売っているのだなと感じさせる点において、幸福なものが漂う。

　同じ品を買うならこういうところから買いたい。いいとも思えず納得もできないものをノルマを課されて無理と無茶を重ねて人に売りつけ相手を不幸にする。少なくないビジネスパーソンがそんなBullshit Jobに甘んじる高度資本主義社会ならなおさらのことである。

　AIを活用したSIEMであるExabeamは、内部脅威検知にすこぶる有効であるとして、日本に紹介された当初はそこがやたら強調された。しかしそれは、Exabeamが持つ卓越した技術と機能の結果のひとつにすぎない。この製品の肝は次の3つだ。

　ひとつは社名の由来でもある、Exabyte（100京バイト）クラスのビッグデータを軽々と切り回す技術的腕力の強さ。ふたつめは、これまでのSIEMにつきものだった「ルール設定とメンテ」「毎分毎時間の誤検知＆過検知への対応」という2つの労苦から管理者を解放したこと。最後の3つめは、人間の知識や経験・認識の枠組みでは思いもつかないような、AIによるリスク検知が行われることである。

　NTTデータ先端技術株式会社は、Exabeamの販売だけでなく、マネージドサービスも提供している。多くには知られていないことだが、同社SOCはNTTデータ・セキュリティ株式会社時代にさかのぼる歴史を持ち、NRIセキュアやLAC、ISS X-Forceなど、日本のSOCサービス黎明期に誕生している。これまでさまざまなミッションクリティカルな業務を行う大企業中心にサービスを提供しており、その能力と、クオリティ＆ホスピタリティは折り紙付き。

　Exabeamのユーザーであり、販売代理店であり、マネージドサービスを提供して感度の高いユーザー企業の要望・要求・そして無茶ぶりに応え続けるNTTデータ先端技術株式会社以上に、このExabeamの真価を語るにふさわしい者もいないだろう。

取材協力：
　　NTTデータ先端技術株式会社
　　　セキュリティ事業本部 セキュリティレジリエンス事業部
　　　セキュリティオペレーション担当
　　　　課長 早川 晃弘 氏
　　　　古川 智大 氏

●NTTデータグループがExabeamを採用した理由

　早川氏と古川氏の所属するチームでは、顧客のセキュリティ課題を解決するために、どのような製品を導入すればよいか提案を行っている。NTTデータ先端技術が取り扱うセキュリティ製品を組み合わせてシステムを構築し、必要があれば導入後の運用まで行う。

　いくつも製品やソリューションを扱うが、その中でUEBA（User and Entity Behavior Analytics）製品とも呼ばれる次世代型SIEM「Exabeam」については、顧客から内部不正への対策をしたいという要望があった場合などに提案しているという。

　ふたりが実際に使用したり、提案を行っている中で感じるExabeamのメリットは、運用の容易さだ。どんなセキュリティ製品でも言われる常套句でもあるのだが、この製品は次元が違うと感じる。

　特に、ユーザーごと、あるいはサーバごとに、それぞれのアカウントが取ったアクティビティを時系列に並べて、まるでFacebookのタイムラインのように一覧できる「スマートタイムライン（特許取得技術）」の機能が非常に使いやすく、インシデント発生時の状況把握にとても有効だという。

　また、大規模企業では日々多数のアラートが上がるが、Exabeamのスマートタイムラインによって迅速な分析がおこなわれ、同時に負荷軽減もされており、それがNTTデータにも評価されたとふたりは考える。

　Exabeamは、AIによる学習機能を備え、ユーザーの行動を時系列に学習していく。平時の行動を学習し、疑わしい行動を検知することができるので、予防の観点からもNTTデータ全グループへの導入に合っていたのだろう。

●三者から見たExabeamのメリット

　取材では「ユーザー企業の情報システム部門」「ユーザー企業の経営者」そして「Exabeam担当のセールスパーソン」の3つの視点を仮定して、同製品の特長やメリットについて話を聞いた。

　まず情シスにとって最大の魅力は、実運用する際に、機械学習で誤検知を減らし、より効率よくアラートをあげることで、結果的に従来SIEMと比べて運用負荷が減ることだという。

　たとえばインシデントが発生した際は、情シス部門は各部署に報告を行うが、スマートタイムライン機能を使うことで、何が起こったかの記録を、早く効率的に整理し把握できる。複数の機器やソフトからログを集めて、それを突き合わせて時間順に整理するという、インシデント発生対応のなかでも一二を争う重たいしんどい作業がExabeamでは不要なのだ。

　経営者視点から考えると、情報漏えいなどの事故発生時には、取引先や顧客、あるいは顧客や株主に対する報告義務が取締役会に課される。インシデント発生を前提に、次世代型SIEMを採用し、横展開等のサイバー攻撃の検知だけでなく、内部脅威対策まで行っていたことは、注意義務を果たしていた確かな証明として機能する。

　最後にセールスパーソンには、Exabeamが運用面に考慮されている製品であることがメリットになる。社内リソースだけでの運用にも充分耐えうる製品である点は顧客へのアピールポイントになるという。

●競合製品との比較

　Exabeamは、既存のSIEMが持つ機能に加えて、UEBA（ユーザ及び機器の自動分析）の能力を持つ点が最大の特徴。既存SIEMのように、人手によるルール開発がいらない（ルール開発も可能）。これによって、運用できるまでのトレーニング期間が相対的に短くなり、運用開始後の日々の工数も少なくなる。

またExabeamは、Microsoft製品以外にもテキスト形式であればデータソースに制限なく分析対象とすることが可能。それ以外にも、他社製品では、検知された異常なイベントの部分だけしか表示できない場合があるが、Exabeamは異常なイベントに至るまでの、そのアカウントの行動履歴を過去にまでさかのぼって調査できる。これも便利な機能だ。

　AIを用いた「動的検知」に加え、従来のSIEMのような閾値を設定した「静的検知」も可能なので、二重の検知でインシデントを発見できる。また、既存のトラディショナルSIEMを配備したまま、Exabeamの分析機能のみを用いる使い方も可能である。

●NTTデータ先端技術から買う意味とは

　NTTデータ先端技術は、Exabeamのライセンス販売だけでなく、導入検討段階での要件定義や、事前検証での技術サポート、構築、そしてさらにその先、運用のアウトソーシングとして、Exabeamのマネージドサービスを行う。アラートが上がった際などに、それが本当に危険なのかどうかの判定など、いちユーザー企業では難しい部分を、専門家にアウトソースしたい要望に応える。

　Exabeamのマネージドサービスを謳っている（謳うことができる）企業は、国内でNTTデータ先端技術以外にはほとんど存在しない。

●導入事例

　NTTデータは従業員数12万人規模で世界各地に拠点がある。Exabeam導入前は、各国各地のセキュリティ基盤がバラバラで、拠点ごとにセキュリティレベルも差があり、サプライチェーン攻撃に弱いことが認識されていた。Exabeamによってこれを一定レベルに引き上げつつ、統一することに成功した。

　このレベルの製品になると導入事例として個社名は出せないのはもちろんのこと、匿名の事例すら開示されないのが一般的だ。

　一社だけ事例として提供されたのが、従業員数約3万人規模の国内企業である。同社は、インシデント対応の効率化と、内部脅威対策のためにExabeamを導入した。すでにさまざまなセキュリティ機器を導入し、95点98点レベルの対策を行っていたが、既存の機器のログを統合的に分析・監視し、外部からの高度な標的型攻撃と内部不正の検知を、これまでよりも高い水準でできるようになったという。

--
　最後にどうしても言及しておきたいことがある。そしてこれは、あまり大っぴらに書いてはいけないことでもある。

　冒頭で挙げた「セキュリティ製品の販売企業がどんなセキュリティ対策をしているのか公表しない」最大の理由のひとつは、攻撃被害の発生可能性である。

　ただのユーザー企業と異なり、サイバー攻撃でいざ被害が発生すると、単に外聞が悪いだけでなく、ベンダに対しても、すごく申し訳ないのだ。

　だからその観点において、NTTデータグループがExabeamをグループ全体で使用していることを明らかにするのが勇気を伴う行為であることに触れておきたい。製品を知り尽くし使いこなして、サイバー攻撃に勝ち続ける自分自身への約束でも決意でもあることに触れておきたい。