米グーグル(Google)系のセキュリティー会社である米クロニクル(Chronicle)が本格的に事業を開始した。2019年3月4日(米国時間)に発表したのは、SIEM(セキュリティー情報イベント管理)のクラウドサービス。セキュリティー関連のログデータを容量無制限で保管し、グーグルの検索技術を使って瞬時に検索可能にするという。
クロニクルは、グーグルの親会社である米アルファベット(Alphabet)が2018年1月に設立した子会社だ。米サンフランシスコで2019年3月4~8日に開催されたセキュリティーカンファレンス「RSA Conference」に合わせて、クラウドSIEM「Backstory」を発表した。
自社インフラを守るシステムを外販
SIEMとは、ユーザー企業が社内に展開するセキュリティー製品やネットワーク機器、業務システムなどが生成するログデータを収集・分析することで、社内システムに対する外部からのサイバー攻撃を検出するシステムだ。
ユーザー企業へのサイバー攻撃が高度化する中で、SIEMの重要性は年々増している。フィッシングなどによって従業員のパソコンを乗っ取り、それを足掛かりに社内サーバーに侵入する攻撃が相次いでいるからだ。
社内への攻撃を検出・防御するには、さまざまなログを統合的に分析し、社内ネットワークのあらゆるデバイスの振る舞いを把握する必要がある。こうした対策は「User Entity Behavior Analytics(UEBA)」とも呼ばれる。クロニクルのBackstoryはSIEMだけでなく、UEBAもクラウドサービスとして提供する。
グーグルは中国からサイバー攻撃を受け、2010年に中国市場から撤退した。それ以来、政府が関与する高度なサイバー攻撃から自社のITインフラを防御するため、独自のSIEMを開発してきた。それを社外にも提供する。
従業員単位で課金、容量無制限
Backstoryの特徴は、ペタバイト(PB)級に及ぶセキュリティー関連のログデータをミリ秒単位のレスポンスで検索できることだ。グーグルのクラウドに保存するログデータの容量と期間はどちらも無制限で、課金単位はユーザー企業の従業員数ベース。データ容量がどれだけ増えても、クロニクルに支払う料金は一定だ。
SIEMが容量無制限のクラウドサービスとして提供されるのは画期的なことだ。これまでユーザー企業がSIEMを構築する上での最大の悩みが、データ容量の問題だったからだ。SIEMを構築するには大容量のストレージだけでなく、大容量のログデータを高速に検索できるインデックスを作成するため、多数のサーバーを用意する必要があった。
