ArcSight あーくさいと
簡単に言うとこんな感じ!
ArcSightは、社内のあちこちにあるサーバー・ネットワーク機器・アプリのログを全部一か所に集めて、「怪しいことが起きていないか」を自動で監視してくれるセキュリティの監視塔だよ!不正アクセスや情報漏えいの兆候をリアルタイムで検知して、担当者にアラートを飛ばしてくれるんだ。
ArcSightとは
ArcSight(アークサイト)は、企業・組織のITインフラ全体から収集したセキュリティログを一元管理・分析するためのSIEM(Security Information and Event Management:セキュリティ情報イベント管理)製品です。もともとは2000年創業の米ArcSight社が開発し、2010年にHP(ヒューレット・パッカード)が買収、その後2017年にHPEのスピンオフによりMicro Focusが引き継ぎ、現在はOpenTextブランドのもとで提供されています。
社内のルーター・ファイアウォール・サーバー・クラウドサービスなど、無数の機器が日々出力するログは膨大で、人間が目視で確認するのは不可能です。ArcSightはこれらを自動収集・正規化し、相関ルール(Correlation Rule)や機械学習を用いて「単体では気づきにくい攻撃パターン」を検出します。大規模企業・官公庁・金融機関など、セキュリティ要件が高い組織での採用実績が多く、世界的に知名度の高いエンタープライズSIEM製品の一つです。
ArcSightの主要コンポーネントと仕組み
ArcSightは複数のコンポーネントが連携して動作します。
| コンポーネント | 役割 |
|---|---|
| ArcSight ESM(Enterprise Security Manager) | コア製品。相関分析・アラート生成・ダッシュボード表示を担うSIEMエンジン |
| ArcSight Logger | 大量のログを低コストで長期保存するログ管理基盤 |
| SmartConnector | ファイアウォール・IDS・OSなど多種の機器からログを収集し正規化するエージェント |
| ArcSight Intelligence | ユーザー行動分析(UEBA)。機械学習で内部不正・アカウント乗っ取りを検出 |
| ArcSight SOAR | 検知後の対応を自動化するプレイブック実行基盤 |
データの流れ(ざっくり)
各機器のログ
└─ SmartConnector(収集・正規化)
└─ ArcSight ESM(相関分析・アラート)
├─ Logger(長期保存)
├─ SOCアナリスト(調査・対応)
└─ SOAR(自動対応)覚え方
「Arc(弧)」= 点と点をつなぐ。バラバラなログの「点」を結んで攻撃の「弧(流れ)」を見つけるツール、と覚えると忘れにくいですよ!
歴史と背景
- 2000年 — 米カリフォルニア州でArcSight, Inc.として創業。エンタープライズSIEM市場の先駆者として台頭
- 2006年 — ArcSight ESM 4.0リリース。大規模金融機関・政府機関への導入が加速
- 2010年 — HP(ヒューレット・パッカード)が約1.5億ドルで買収。HP Enterprise Securityブランドに統合
- 2011年 — PCI DSS(クレジットカード業界のセキュリティ基準)対応ソリューションとして多数の金融機関で採用
- 2017年 — HPEがソフトウェア部門をスピンオフ、Micro Focus Internationalが引き継ぐ
- 2019年 — クラウド対応版「ArcSight on AWS」など、SaaS・クラウド連携を強化
- 2023年 — OpenTextがMicro Focusを買収。ArcSightはOpenText Cybersecurity製品群に統合
- 現在 — エンタープライズ向けオンプレミス・ハイブリッド環境でのSIEMとして、特に大規模組織・規制業界で引き続き利用
主要SIEMとの比較
ArcSightと競合するSIEM製品は複数あります。選定時の参考として比較します。
| 製品 | ベンダー | 特徴 | 向いている組織規模 |
|---|---|---|---|
| ArcSight ESM | OpenText | 高度な相関ルール・大規模環境向け・オンプレ強み | 大企業・官公庁 |
| Splunk Enterprise Security | Splunk(Cisco) | 検索・可視化が強力・豊富なアプリ連携 | 中〜大企業 |
| IBM QRadar | IBM | AI分析・ネットワーク挙動分析が強み | 中〜大企業 |
| Microsoft Sentinel | Microsoft | クラウドネイティブ・Azure連携・コスト柔軟 | クラウド移行中の組織 |
| LogRhythm | LogRhythm | 導入しやすさ・SOAR統合が特徴 | 中小〜中堅企業 |
実務での選定ポイント
ArcSightを検討・発注する際に、ビジネス担当者が押さえておきたいポイントをまとめます。
| 観点 | ArcSightの特徴 | 注意点 |
|---|---|---|
| 導入規模 | 大規模環境(数万EPS以上)に強み | 小規模組織には過剰スペックになりやすい |
| 費用 | ライセンス・構築費ともに高め | 初期費用・保守費用の長期計画が必要 |
| 運用難易度 | カスタマイズ性が高いがチューニングに専門知識が必要 | SOCアナリストかベンダーSIが必要 |
| オンプレ/クラウド | オンプレミス実績が豊富。クラウド対応も進行中 | フルクラウド環境ならSentinelなども比較を |
| 規制対応 | PCI DSS・SOX・ISO 27001などへの対応実績多数 | コンプライアンス要件を整理してRFPに盛り込む |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 5424 | Syslogプロトコル。ArcSightがログ収集に利用する主要なログ転送規格 |
| RFC 3164 | BSD Syslog(旧来の非公式標準)。SmartConnectorが対応するログ形式の一つ |
| RFC 5246 | TLS 1.2。ログ転送時の暗号化通信に使用 |
関連用語
- SIEM — セキュリティ情報イベント管理。ArcSightが属する製品カテゴリ
- SOC — セキュリティオペレーションセンター。ArcSightを活用して監視・対応を行う組織
- Splunk — ArcSightの主要競合製品。ログ検索・可視化に強みを持つSIEM
- SOAR — セキュリティオーケストレーション・自動対応。ArcSightと連携して対応を自動化
- IDS・IPS — 不正侵入検知・防止システム。ArcSightへのログ送信元となる代表的な機器
- Syslog — ログ転送プロトコル。SmartConnectorがログ収集に使う標準プロトコル
- UEBA — ユーザー行動分析。ArcSight Intelligenceが担う機能領域
- PCI DSS — クレジットカード業界のセキュリティ基準。ArcSight導入の動機になることが多い