全2785文字
PR

 米Google(グーグル)が2021年7月、ビッグデータ分析によってサイバー攻撃を検出するセキュリティー情報イベント管理(SIEM)に、SQLクエリーでデータを分析する機能を統合した。背景にはセキュリティー運用を「コード化」しようとの考え方があるのだという。

 グーグルは2021年7月22日(米国時間)、同社のSIEM製品であるChronicleにクラウドデータウエアハウス(DWH)であるBigQueryやビジネスインテリジェンス(BI)であるLookerの機能を統合すると発表した。

 SIEMとは、セキュリティー装置やネットワーク機器、業務アプリケーション、SaaS(ソフトウエア・アズ・ア・サービス)、サーバーやクライアントで稼働するOS、エンドポイント・ディテクション&レスポンス(EDR)などが生成するログデータを収集・分析することで、外部からのサイバー攻撃や従業員による不正行為などを検出するシステムだ。何も信頼しないセキュリティー対策「ゼロトラスト」における守りの要となる存在だ。

 これまではChronicleに蓄積したログデータを収集・分析する際には、Chronicleが備える専用の検索ツールやデータ可視化ツールを使用する必要があった。それに対して今後は、ChronicleにBigQueryやLookerの機能が統合されることによって、ログデータをBigQueryのストレージに移した上でSQLクエリーを使って分析したり、その結果をLookerのデータ可視化ツールを使って確認したりできるようになった。

専用クエリー言語ではなくSQLを使える

 他社のSIEMにおいては、データの分析には各社専用のクエリー言語を使用するのが一般的だ。米Splunk(スプランク)の「Splunk Enterprise Security」の場合であればスプランクの検索クエリー言語「Search Processing Language(SPL)」を使用するし、米Microsoft(マイクロソフト)の「Azure Sentinel」の場合はマイクロソフトの検索クエリー言語「Kusto Query Language」を使用する。

 Chronicleはこれまで、検索ツールや可視化ツールを搭載することで、ユーザーがクエリーを記述しなくても様々なセキュリティー脅威を検出できることを製品の特徴に掲げていた。しかしセキュリティー運用の現場においては、クエリーや可視化のカスタマイズは不可欠である。

 カスタマイズのニーズに応えるために、SIEM専用のクエリー言語ではなく、汎用的なクエリー言語であるSQLを使えるようにしたというのが、今回の施策のポイントとなる。Chronicle自体にSQL機能を追加したのではなく、ChronicleのデータをBigQueryに移して、BigQueryでデータを分析できるようにした。Chronicleのライセンスがあれば、追加コスト無しにBigQueryでログを分析できるようにした。

 グーグルはChronicleに対するBigQueryとLookerの機能統合と同時に、セキュリティー・オペレーション・センター(SOC)向けのソリューションである「Autonomic Security Operations」も発表した。これはChronicleに加えてその導入支援サービスをソリューションとしてグーグルが提供するもので、セキュリティー製品とChronicleとの連係の支援や、分析クエリーや可視化ダッシュボードのサンプルなどを提供する。ChronicleをSQLによって柔軟にカスタマイズできるようになったことが、ソリューションの実現につながったわけだ。