機械学習でシステムへの脅威を自動検知するクラウドサービス「Oracle Management and Security Cloud」発表、競合はSplunk。Oracle OpenWorld 2017

2017年10月5日

オラクルはサンフランシスコで開催中のOracle OpenWorld 2017において、新サービス「Oracle Management and Security Cloud」を発表しました。

発表はラリー・エリソン氏による2度目の基調講演で行われた

Oracle Management and Security Cloudは、データベースやOS、ミドルウェア、アプリケーションなどシステム運用に関わるさまざまなログを収集、機械学習によって不正ログインやマルウェアなどの脅威を自動的に検出するというものです。

対象となるシステムはOracle Cloudだけでなく、AWSやAzureなどオラクル以外のクラウドやオンプレミスなども含まれます。それはOracle Management and Security CloudがOSやアプリケーションのログを収集して解析するという仕組みのためで、対象となるシステムがどこで稼働していようと、インターネット経由でログが収集できればよいためです。

またログさえ収集できればよいため、既存の運用監視システムとの共存も容易で、すぐに使い始められる点も特徴といえるでしょう。

Windows、JBoss、Linux、DB2、MongoDBなど多数のログに対応しています。

機械学習によって正常と異常を自動判断

Oracle Management and Security Cloudは収集したログのさまざまなフォーマットを内部で標準化したうえで、機械学習によってコンフィグレーション情報やアカウント情報、フィッシングサイトのURLなどサードパーティからの情報などを含めた全体の関係などを考慮しつつ、意味（セマンティック）を推測しながら分析し、正常な状態と異常な状態を自動的に判断すると説明されています。

管理画面からは、現在の脅威の状況として、インシデンドの件数、自動的に対策した件数、リスク数、リスクのあるユーザー数などが表示されています。

ここから例えばリスクのあるユーザーをドリルダウンしていくと、そのユーザーのリスクの内容や最近の振る舞いなどが表示されます。

自然言語で状況の問い合わせが可能

また、Oracle Management and Security Cloudへのクエリは自然言語で行えると説明されています。

下記は「How many faild logins did we see for the user MBAKER？」（MBaker氏は何回ログインに失敗したか？）と質問しており、この質問に対してLinuxやAIX、Solaris、Oracle Database、MySQL Databaseなど複数のログからログイン情報を集めて分析し、失敗した回数を集計しています。