2011/10/18米国出張:ユーザーカンファレンス視察レポート
2011年9月12日から14日にかけて、米国ワシントンD.C.にてArcSight社(2010年Hewlett-Packard社により買収)のユーザカンファレンスが開催され、販売代理店である弊社からもArcSightサポートチームの2名が参加してきました。
このカンファレンスには、弊社から毎年1~2名が参加しているのですが、米国では年を追うごとに参加者が増えており(今回は初日で約2000人参加)、米国のセキュリティ業界の規模と成長スピードに圧倒されるばかりです。
さて、このカンファレンスの目的ですが、製品に関する情報交換の場であることはもちろん、米国のセキュリティ事情についての貴重な話が聞ける場でもあり、以下にその一部をご紹介します。
■基調講演
今回は買収後の初のカンファレンスということもあり、新しい体制がどのようになるのかに注目が集まる中、Tom Reilly氏によりHP Enterprise Security Products部門の発足がアナウンスされました。時期を同じくして、やはりHP社に買収されたFortify, TippingPoint の両社と一体となることで、各社製品間のシナジーを高め、包括的なセキュリティ対策を提供していくとのことです。折しも世の中では PlayStation Network での情報漏洩事件を始めOperation Aurora や Night Dragon といった組織的な攻撃、そしてStuxnet の登場により、情報資産のみならず物理的な影響を伴う脅威が現実のものとなり、いかにして様々な脅威から自らの組織を守って行くかということに、これまでにも増して注力していくことが求められています。
しかしその一方で、一層高度化する攻撃に対して銀の弾丸となる対策はありません。セキュリティ製品やサービスの導入だけで良しとするのではなく、組織内のあらゆる情報の把握や組織外も含めた情報共有、運用体制の整備など、地道ながらも堅実な対策を行っていくことが、早期の発見と着実な対処へと繋がります。
そうした意味でも、HP Enterprise Security Products部門の製品をコアとしながらも、内部だけでの連携にとどまらず、従来からも協業関係にあったセキュリティ各社との、連携も引き続き深化していこうというメッセージが強く感じられるものでした。
またプロダクトのロードマップでは、新開発のエンジンへと置き換わったArcSight Express 3.0の発表が行われました。ArcSight Expressは元々ArcSight LoggerとArcSight ESMとのギャップを埋める位置付けの製品としてリリースされていたものですが、単にパフォーマンスやストレージ効率といった性能面での向上だけではなく、ArcSight Expressを皮切りとした統一したアーキテクチャへの移行が進むことで、長期間にわたるログの保存や調査からリアルタイムのコリレーション、それによるアラートまで、規模やニーズに応じた最適なソリューションをシームレスに提供できる点でも大きな効果が期待できます。
■個別セッション
個別セッションは主に、ユーザによる製品の使用例や開発元エンジニアによる製品の内部的な話、具体的の設定例の話が聞けます。実際のユーザが製品導入前に困っていたことを、導入後にどう解決したかや、開発元から開発の背景を直接聞くことができて面白いです。
<製品の使用例>
SOX対応が一段落した米国で、去年あたりからの2大セキュリティテーマは
「オンライン金融不正」と「APT」です。
・オンライン金融不正
米国ではオンライン金融取引が多いので、オンライン金融不正をどう検知して防ぐかという話は重要なテーマです。
振込履歴から振込先の異常を検知したり、オンラインバンクへのアクセス元IPアドレスから異常を見つけたりと色々工夫を凝らして検知していて、またそれが役立った事例を実際のユーザが話してくれるのがいい所です。「日本でも振り込め詐欺対策に使えないか?」と考えながら聞いたのですが、少なくとも弊社のお客様では金融不正監視目的でArcSightの導入事例は無いですし、そもそもご相談も頂戴したことがないので、実際のところこの講演で仕入れた事例を日本でどう役立てるかという点は悩みどころです。
・APT (Advanced Persistent Threat)
APTは去年あたりから講演で取り上げられ始めた感じです。米国でも「コレ!」といった対策はまだなく、通常時のIT資源の利用状況を把握して、異常値を検知するレベルで試行錯誤していました。異常値による検知でも誤検知は多いながらも成果が出ているという話なので、やる価値はあるなという印象を受けました。
また去年の講演の事例ですが、米国の防衛企業のセキュリティ担当者が自社の検知手法を講演する等、セキュリティ関係者が集まるこの機会に、検知手法を皆であれこれ議論しようという雰囲気があります。
米国ではオンライン金融取引が多いので、オンライン金融不正をどう検知して防ぐかという話は重要なテーマです。
振込履歴から振込先の異常を検知したり、オンラインバンクへのアクセス元IPアドレスから異常を見つけたりと色々工夫を凝らして検知していて、またそれが役立った事例を実際のユーザが話してくれるのがいい所です。「日本でも振り込め詐欺対策に使えないか?」と考えながら聞いたのですが、少なくとも弊社のお客様では金融不正監視目的でArcSightの導入事例は無いですし、そもそもご相談も頂戴したことがないので、実際のところこの講演で仕入れた事例を日本でどう役立てるかという点は悩みどころです。
・APT (Advanced Persistent Threat)
APTは去年あたりから講演で取り上げられ始めた感じです。米国でも「コレ!」といった対策はまだなく、通常時のIT資源の利用状況を把握して、異常値を検知するレベルで試行錯誤していました。異常値による検知でも誤検知は多いながらも成果が出ているという話なので、やる価値はあるなという印象を受けました。
また去年の講演の事例ですが、米国の防衛企業のセキュリティ担当者が自社の検知手法を講演する等、セキュリティ関係者が集まるこの機会に、検知手法を皆であれこれ議論しようという雰囲気があります。
<製品の内部的な話>ArcSight社エンジニアが製品の内部動作や機能の応用例、設定例などを解説してくれる講演も多数あります。(サポートエンジニアは障害事例、開発エンジニアは製品の内部動作、プロフェッショナルサービスコンサルタントは設計時のポイントや機能の応用例など。)
このような講演がなぜ有意義かというと、我々販売代理店が製品サポートをしているとパフォーマンス問題を筆頭に必ずしもバグに起因しない障害に遭遇することがよくあります。これらは製品のバグではないので開発元へ依頼しての解決は期待できないため、我々が解決に向けて動くわけですが、その際にも「内部的にどんな処理がどんな順番で実行されているか」といった情報があると無いとでは解決までにかかる時間が相当違います。また、起きた問題の原因と解決策をお客様へご説明をする際にも、きちんと根拠立てた説明ができるのでお客様の満足度向上にも寄与していると思っています。
■最後に
軽く会場の様子を写真で紹介して終わりにしたいと思います。(会場は以下のホテルでした。)
<ホテル>
Gaylord National Resort & Convention Center
201 Waterfront Street
National Harbor, MD 20745
<写真>
・右上 :基調講演時会場
・中央左:会場ホテル外観
・右下 :レセプション会場横断幕
- 執筆者 -
株式会社インフォセック ソリューション本部
ArcSightサポートチーム
軽く会場の様子を写真で紹介して終わりにしたいと思います。(会場は以下のホテルでした。)
<ホテル>
Gaylord National Resort & Convention Center
201 Waterfront Street
National Harbor, MD 20745
<写真>
・右上 :基調講演時会場
・中央左:会場ホテル外観
・右下 :レセプション会場横断幕
- 執筆者 -
株式会社インフォセック ソリューション本部
ArcSightサポートチーム
[ コラムTop ]
