IBMのテクノロジーを組み合わせてサイバーセキュリティをより適切に管理

2020年の徹底的な市場評価の後、代替銀行向けのテクノロジー・プロバイダーであるData Action（DA）は、地元のセキュリティー・コンサルティングおよびサービス・スペシャリストであるVectraに、セキュリティー情報およびイベント管理（SIEM）プラットフォーム更新プロジェクトの契約を締結しました。

選ばれたSIEMソリューションであるIBM Security® QRadar®は、VMwareおよび IBM FlashSystem® ストレージを用いた仮想化アプライアンスとしてデプロイされました。仮想化アプライアンスにQRadarをデプロイすることは一般的ですが、このタイプのワークロードに性能FlashSystemストレージ・コントローラーを使用することは一般的ではありません。

IBM独自のIBM FlashCore Module（FCM）テクノロジーを使用したQRadarデータの保管は、セキュリティー・オペレーション・センター（SOC）のセキュリティー脅威分析機能に大きな影響を与えています。対応時間が全体として大幅に短縮し、以前のSIEMソリューションに比べて、分析時間が数時間から数分に短縮された例もあります。

ただし、適切なコンピューティング資源とストレージ資源が提供された場合にのみ、インテリジェントな洞察と迅速な応答時間が実現可能になります。効果的なSIEMソリューションには、多くの場合、オンプレミスとクラウドのにまたがる複雑な運用環境から、膨大な量のデータをINGESTする必要があります。より優れた洞察を得るために必要な複雑な分析では、膨大な量のデータにアクセスする必要があります。このような環境では、高性能で低遅延のストレージを使用することでのみ、高速な応答時間が実現可能です。

こうした理由から、DAは2020年に、徹底的な市場評価を行った後、QRadarを組織のSIEMソリューションとしてデプロイしました。このソリューションは、専用のVMwareクラスター内の仮想アプライアンスで構成され、すべてのデータ保持にはFlashSystemストレージを使用しています。

QRadarは、アウェアネスと準拠サポートを提供するネットワーク・セキュリティー管理プラットフォームです。QRadarは、フローベースのネットワーク知識、セキュリティー・イベントの相関関係、資産ベースの脆弱性のアセスメントを組み合わせて使用します。

Gartner社は、「Security Information and Event Management（セキュリティー情報およびイベント管理）」レポートで、IBMをSIEMのリーダーとして12年連続で挙げています。

FlashSystemポートフォリオは、IBMのBlock Storageコントローラーの範囲であり、エントリー、ミッドレンジ、ハイエンドのワークロードに適したモデルを備えています。すべてのモデルは、組み込みシステム・ソフトウェアにIBM® SAN Volume ControllerのIBM Spectrum® Virtualizeソフトウェアを利用しています。同じソフトウェアを使用した成果、通常はハイエンド・ソリューションにのみ見られる主要な機能が、エントリー・レベルとミドル・レベルのモデルでも利用できます。

IBM FlashSystem 5200、7200、7300、9200、9500モデルの中心となるのは、IBM FlashCoreテクノロジーです。

IBM FlashCoreはIBM Storageで独自のものであり、他のベンダーのオールフラッシュ・ストレージで使用されているソリッドステート・ドライブとは異なり、コントローラーの設計でさまざまな技術を使用して優れた性能を実現し、レジリエンスを強化しています。

• エクスペリエンスI/Oのレイテンシーがわずか70マイクロ秒で、性能のボトルネックを解消できます。
  
  
• FCMは、データ削減のために組み込みハードウェアを使用します。データ削減は、モジュールにデータを書き込むとすぐに行われます。パフォーマンスへの影響はありません。

FCMは、業界標準の汎用SSDよりも最大7倍のフラッシュ耐久性を実現するように設計されており、お客様にとっては問題が少なくなります。また、SSDの故障やドライブの再構築に時間を費やす必要がないということも意味します。

DAは、オーストラリアの大手顧客所有のチャレンジャー・バンク、アグリゲーター、および信仰に基づくセクターの専門的なソフトウェアおよびサービス・プロバイダーへと進化しました。DAの柔軟なプラットフォーム・アーキテクチャーにより、「プラグ・アンド・プレイ」統合を通じて選択肢が可能になります。DA社の製品スイートは、コア・バンキング・プラットフォームから、「オーストラリアのチャレンジャー・バンク向けにコア・バンキングとデジタル・バンキングを強化する」という同社の目的を支える完全なバンキング・エコシステムへと進化してきました。

DAは、アデレード、シドニー、メルボルン、ブリスベンに200名を超えるスタッフを擁し、コア・バンキングとデジタル・プラットフォームを通じて160万人を超えるオーストラリアのエクスペリエンスを向上させ、毎日260万件の口座で3億件の顧客取引を処理しています。

DAのサービスは唯一無二です。プライベートおよびパブリッククラウド環境で、テクノロジー・サービスの構成、移行、ホスティング、ローカルでのサポート、統合、保守を行います。これには、サービス提供、ガバナンス、コミュニケーションを単一の所有者が担う、実績のあるエンドツーエンドモデルが内在しています。これにより、マルチベンダーのIT環境の複雑さと相互運用性の高まりに伴う統合上の問題や、発生する可能性のある問題が解消されます。

DAの堅牢なパートナーシップ・アプローチにより、クライアントは会員へのサービスを継続的に強化できるようになります。現在、DAはプラットフォーム上に200社を超えるパートナーを擁し、会員の価値を高める最高のソリューションを提供しています。

DAのマーケットプレイス・プラットフォーム・アプローチは、競争力と配信スピードを維持するための柔軟性とパートナーの選択を可能にし、クライアントに目的に合ったパートナーシップを提供します。DAのパートナーシップ・チームは、製品、クライアント、ソリューションの各チームと緊密に連携し、ソリューションがクライアントとそのメンバーに価値を提供できるようにしています。

DAは、金融サービスクライアントのインターネットに接続している表面の大部分を直接管理しています。その結果、DAは独自の洞察を持ち、相互セクター全体で移動する脅威のパターンを観察することができます。

DAは、ホスト型の銀行サービスを保護するための強力で多層的なサイバーセキュリティー機能を提供しています。DAのプロセスは、予防管理の厳格かつ信頼性の高いオペレーションと、インシデント発生場合の検知、対応、回復のためのリハーサル済み、構造化済み、組織の機能を保証します。

DA社は、クライアントのビジネスと顧客の安全を守るために、あらゆるセキュリティー・サービスとテクノロジーを使用して製品を保護しています。これには、Webアプリケーション・ファイアウォール、次世代ファイアウォールとエンドポイント保護、包括的なセキュリティー監視、脆弱性管理、定期的な外部ペネトレーション・テストが含まれます。

SIEMはDAにとって重要なプラットフォームであり、以下を通じてサイバーセキュリティー機能を実現します。

• DA環境からの非常に大量のアクティビティー・データのINGESTと処理。
  
  
• そのデータに対してセキュリティー分析を実行し、環境内の潜在的に悪意のあるアクティビティーを特定し、DAに警告する。
  
  
• DA環境内のアクティビティーと既知の侵害インジケーターを比較して、DAにセキュリティー侵害の可能性を警告します。
  
  
• セキュリティー・アラートのトリアージとフォレンジック調査を実行できるようにする。
  
  
• DAのコンプライアンス要件を満たす、高いレジリエンスと整合性を備えたセキュリティー・イベント・データの保管。
  
  
• さまざまなチームが環境全体のアクティビティーを分析し、運用上のトラブルシューティングを支援できるようにサポートする。

強力なプラットフォームがなければ、DAはセキュリティー・インシデントを検出する可能性が低くなり、特定されたセキュリティー・インシデントへの対応有効性が低下します。また、DAはセキュリティ関連データの監視と保持に関するコンプライアンス要件を満たすことができなくなります。

このプロジェクトで置き換えられたSIEMの実装は、サポート終了に近づいていたハードウェア・アプライアンス・ベースのソリューションでした。

DAが更新プログラムで改善したいと考えていた主な重点分野は次のとおりです。

• データ・ソースと一致した、すぐに使用できるパーサーの強力なライブラリーを備えたプラットフォームを選択することで、データ取り込みの保守にかかるオーバーヘッドを削減します。
  
  
• すぐに使えるセキュリティー監視のユースケースを改善して、管理オーバーヘッドを削減します。
  
  
• 継続的な研究開発と投資を示したプラットフォームを選択しましょう。
  
  
• 全体的なデータ取り込みレジリエンスを向上させます。
  
  
• ハードウェアの結合を除去し、ストレージ容量を拡張する際の制約を改善します。レガシー・プラットフォームのストレージを相対的なパフォーマンスに拡張するためのコストは、現在のストレージ・テクノロジーと比べて非常に競争力に欠けていました。
  
  
• 複雑で大規模なクエリの性能を向上させます。クエリに12時間かかることはよくあることで、侵害時の応答時間に遅れが生じる可能性がありました。磁気ディスクの実行によるストレージ性能への制約を診断しました。
  
  
• 古いデータ・セットに対してフォレンジック調査を実行する機能を向上させます。レガシー・プラットフォームのバックアップと復元機能は、すべてか何もかというものでした。つまり、現在の保存期間外のデータを復元することは非常に困難でした。

QRadarは主に、イベントとフローの収集、解析、分析という概念に基づいて機能します。

イベントとは、ファイアウォールの通過、データの通過、システムへのロギング、データベースへのアクセスなど、関心のあるものが発生したことを示すデータです。イベントはSIEMの基本データです。イベントは、ネットワークルーターやサーバーなどのデバイスやアプリケーションによって生成されます。ログはイベント・データのデータベースです。

フローは、ネットワーク・デバイスに直接アクセスし、それらを通過するトラフィックを監視することで取得されるネットワーク・パケット・データです。フローには、送信元と宛先のIPアドレス、転送されたデータ量、さらには使用されているアプリケーションなどの情報が含まれます。フローは、特定の種類の攻撃を検出する際に非常に重要です。実際のネットワーク・パケットはキャプチャまたは保存されず、ヘッダー、つまりネットワーク送信の最初の数百バイトのみがキャプチャまたは保存されることに注意してください。

QRadarがサーバーやネットワーク・デバイスから受信するデータをどのように処理するかをよく理解するには、IBM Security QRadarシステムのオペレーションを3つの層に分けて考えてみましょう。

• データ収集
  データ収集は、クライアントのネットワークから収集されたイベントやフローなどのセキュリティー・データを収集するレイヤーです。この層では、データを収集、解析、正規化してから、次の層に転送してさらなる処理とストレージを行います。

• データ処理
  データが収集された後、処理層はQRadarのカスタム・ルール・エンジン (CRE) を使用して、イベントおよびフロー・データのリアルタイム処理を実行します。CREは、違反やアラートを生成する責任を担います。これは、データがストレージに書き込まれる層でもあります。
  
  QRadarのデータ処理は、複数のプロセッサーにわたって並列的に実行されます。データがプロセッサーの近くに保存され、検索と関連付けが複数のプロセッサー間で高度に分散された方法で行われるアーキテクチャーは、システム全体のパフォーマンスを高めるのに大きく貢献します。

• データ検索
  最上位層はコンソールで、QRadarのユーザー・インターフェースを提供します。収集および処理されたデータの成果は、ダッシュボード、レポート、および検索を通じて表示されます。コンソールに違反調査の表示や警告を発することができます。管理者はコンソールを使用してQRadarを管理します。

このセグメンテーションは、サイズ、複雑さ、数、ログ・ソース、またはインストールまたは接続されているモジュールに関係なく、あらゆるQRadarデプロイメント構造に適用されます。

前述したように、Gartner社はMagic Quadrant for Security Information and Event ManagementレポートでQRadarをSIEMのリーダーとして選出しました。QRadarはリーダーとして認められている理由はさまざまですが、QRadarの優れた主要な機能の1つは製品の高度なインデックス管理です。

インデックス作成の価値は、データ・ユーザーが何を求めているのかを理解し、頻繁に検索されるプロパティーのインデックスを有効にすると最大化されます。主要な機能は、どのプロパティが検索されているか、およびインデックスを使用した検索に関する統計を管理者に提供します。管理者は、インデックスを有効化、調整、あるいは無効化して、全体的なパフォーマンスを向上させることができます。

追加のプロパティのインデックス作成を有効にすることで得られるメリットに対して、潜在的なデメリットも存在します。追加のインデックス作成は、データの書き込み時にシステムの性能に影響を及ぼし、追加のストレージ容量が必要になります。IBM FCMを使用すると、これらの欠点の両方が効果的に軽減されます。ハイパフォーマンスのエンタープライズ環境向けに設計されたFCMは、一貫して大量のデータをINGESTしながら、インライン・データ圧縮を適用することができます。 FCMは、ハードウェア・アクセラレーションによるI/Oを使用することで、性能を低下させることなくこれらすべてを実現できるという点で唯一無二です。

DAは、QRadar SIEMソリューションを、2台の専用物理サーバーで構成される専用のVMwareクラスター内にデプロイしました。この環境のストレージ要件は、ホストに直接接続された専用のIBM FlashSystem 7200からプロビジョニングされます。

完全なフォールト・トレラント・アーキテクチャーで実装できますが、現在デプロイされているSIEMソリューションでは、可用性の高いログの収集と取得のみに対応しています。QRadar ProcessorとQRadar Consoleのアプライアンスには冗長性はありませんが、仮想アプライアンスとしてESXiホスト間で移行できる柔軟性があります。

DAのSIEM更新プロジェクトの評価には、通常、ケースを調査する際に実施されるアクションの応答時間をベンチマークするテストが含まれていました。QRadarソリューションが完全に稼働したことで、最近の優先度の高い調査中に実行されたアクションが記録されました。各アクションにより、次のデータが記録されました。

• 各アクションのクエリが実行された過去の期間
  
  
• 分析されたデータ・セットのサイズ（関連する場合）
  
  
• アクションが完了するまでにかかった時間

実行されている分析の複雑さと規模についての背景情報を提供するために、履歴期間とデータ・セットの規模が公開されています。

比較目的で、DAサイバーセキュリティー・チームは、以前のSIEM内で同等のアクションが行われた相対的な完了時間を提供しました。並べてテストを実行して、両方のSIEMシステムの成果を比較することは理想的ですが、以前のSIEMソリューションはQRadarが運用開始後に廃止されたため、これは不可能でした。

以前のSIEMソリューションの完了時間は推定値ですが、いくつかの理由から関連性があります。

• 推定完了時間は、両方のシステムに非常に精通した高度なスキルを持つチーム・メンバーの判断に基づいています。
  
  
• DAのSIEM更新プロジェクトの一環として、QRadarの相対的な性能が既存のシステムと比較してテストされました。全体的な性能の大幅な向上は、他の潜在的なソリューションと比較してその製品を最終的に選択する上で重要な要素でした。
  
  
• 以前のSIEMソリューションのログとデータは保持されており、同等のアクションのVerifyを検証するために使用できます。

しかし最も重要なのは、QRadarでのすべての同等のアクションの完了時間が、以前のSIEMシステムよりも桁違いに速いということです。以前のSIEMソリューションに記載されている推定完了時間に大きな誤差が追加されたとしても、QRadarのアクションが大幅に短い時間で完了すると主張するのは理にかなっています。以前は所要時間の短縮に数時間かかっていましたが、今では数分で完了しています。同様に、実行に数分かかっていたレポートも数秒で完了するようになりました。

2020年、DAは以前のSIEMソリューションを置き換えるプロジェクトを実施しました。どの組織の事業計画にも堅牢なサイバーセキュリティー戦略は必要ですが、信用組合、銀行、その他の金融機関にコア・バンキング・サービスを提供する組織にとって、その重要性はいくら強調してもし過ぎることはありません。徹底的な評価プロセスの後、DAはVectra社と契約を締結し、既存のSIEMソリューションを仮想化環境で実行され、FlashSystemストレージを使用するQRadarに置き換えました。

初期のベンチマーク・テストと実際の使用状況の両方で、QRadarのデプロイメントは、セキュリティー関連のイベントを調査するための非常に効果的で強力なツールであることが示されています。QRadarコンポーネントをVMwareクラスター内にデプロイすると、物理フットプリントの縮小やPowerコストの削減、柔軟性、将来の拡張性など、多くのメリットが得られます。IBM FCMテクノロジーを搭載したFlashSystemsストレージを組み込むことで、DAは高いパフォーマンスと信頼性を実現するソリューションのメリットを受けています。

DAは、QRadarインデックス最適化機能と高性能ストレージ・プラットフォームを組み合わせて使用することで、一般的なクエリーの実行時間を数分から数秒に大幅に短縮することができました。これにより、インシデント対応、定期的な環境レビュー、レポート作成など、DAにおけるあらゆる種類のSIEMユースケースで明らかな改善が実現しました。セキュリティー・イベント分析が迅速化されると、インシデントのトリアージと対応が改善され、全体的な影響が軽減されることがわかっています。環境レビューが迅速化されることで、セキュリティー・アナリストが費やす時間と不満が軽減され、生産的な作業に多くの時間を費やすことができます。

QRadarとIBM FlashCoreテクノロジーの採用により、DAは以前のSIEMソリューションが可能にした数分の1の時間でインシデント分析とレポートを実行できるようになりました。データ侵害の平均コストは数百万ドルですが、検出率の向上に役立つソリューションのビジネス価値は明らかであり、時間とコストの面で潜在的な節約を実現します。

FlashSystemストレージ・コントローラーを搭載したFCMのデプロイメントは重要な要因ですが、性能向上の唯一の理由として捉えるのは無謀です。パフォーマンスの向上は、QRadar製品自体、特にインデックス管理機能に起因する場合もあります。パフォーマンス向上の原因が何であれ、IBMテクノロジーの組み合わせは、DAのケースでは、組織のセキュリティーの目標と目的を達成する上で非常に効果的であることが示されています。

Data Action社、サイバーセキュリティー元責任者

Simeon Finch（BCompSc、MCSE、VCAP）は、DAの元サイバーセキュリティー責任者であり、サイバーセキュリティー・チーム、テクノロジー、コンプライアンス・プロセス、ストラテジーに対してエンドツーエンドの説明責任を負っています。

Simeonは、技術的リーダーシップ、アーキテクチャー、サイバーセキュリティーを含む、さまざまなIT機能で20年以上のエクスペリエンスがあります。SimeonはTOGAFの認定を受けており、SABSA公認のセキュリティー・アーキテクトの資格を有しています。また、エネルギー分野におけるサイバーセキュリティー法規制や金融サービスにおけるオープン・バンキングなど、連邦政府のクリティカル・インフラストラクチャー・センターなどの大規模プロジェクトに貢献してきました。

リード・サイバーセキュリティー・アナリスト、DA

Lucien Dabrowskiは、DAのリード・サイバーセキュリティー・アナリストであり、セキュリティー・モニタリング、インシデント対応、サイバー規制とコンプライアンス要件の確実な実現、およびサイバー脅威からの効果的な防止・検知・対応・回復を可能にするDAのサイバーセキュリティーの成熟度の継続的な改善を担当しています。

Lucienはサイバーセキュリティーに8年以上のエクスペリエンスを持っており、ICTインフラストラクチャーのバックグラウンドを持っています。彼はSIEMのエバンジェリストであり、複数の大規模SIEMプラットフォームを設計、実装、運用してきました。Lucienは、DAとより広いコミュニティの両方に積極的にメンタリングとテクノロジーガイダンスを提供しています。

IBM、Technical Product Specialist

Brendan Scott（MIT、Beng）は、IBMのテクニカル・プロダクト・スペシャリストで、IBM Systems Storageポートフォリオを使用して、オーストラリア/ニュージーランドの顧客とパートナーのサポートに主に注力しています。

Brendanは、多様なIT関連の職務や業界において25年以上の経験があります。IBMでの10年間のキャリアの中で、Brendanは技術的なアドバイスとガイダンスを提供することにより、IBMのハードウェアおよびソフトウェア・ソリューションを使用する顧客とパートナーの価値を最大化してきました。

Vectra社、サイバーセキュリティー・ソリューション・マネージャー

ジェスは、セキュリティー・ソリューションおよび関連するマネージド・セキュリティー・サービスの全体的な導入、助言、実装、および継続的なサポートを担当しています。彼はVectraのセキュリティコンサルティング、ペネトレーション・テスト、セキュリティ・オペレーション・センター (SOC)、およびインシデント対応チームと緊密に連携し、ANZ地域におけるVectraのクライアント・ベースをサポートしています。

DA社は、オーストラリアの地方信用組合と相互銀行が集まって1986年に協同組合として設立したテクノロジー企業で、コア・バンキング・サービスをホストしています。相互パートナーによって相互に設定されているというこの誇り高い伝統は、今日のDAのビジネスの中心であり続けています。

Vectra はオーストラリアを代表するサイバーセキュリティー企業です。2001年以来、アジア太平洋地域全体に専門的なコンサルティング・サービス、マネージド・セキュリティー・サービス、セキュリティー・ソリューションを提供しています。Vectraチームは、ガバナンス、リスク、コンプライアンス（GRC）コンサルティング、ペネトレーション・テスト、脆弱性評価、エンドポイント・セキュリティー、ネットワーク・セキュリティー、IDセキュリティー、クラウド・セキュリティー、マネージドSIEM、インシデント対応など、多様なエクスペリエンスと機能を提供しています。