ITpro Special
週間WEEKLY ITpro Special ITpro

マクニカネットワークス「強いCSIRT」

マクニカネットワークス

膨大なログの迅速な調査・分析で
より高度なインシデント対応を実現

企業の監視対象となるシステムやデバイスの範囲がますます拡大している一方で、企業にはさらに高度なインシデント対応が求められている。そのため、収集した膨大なログの調査・分析作業が極めて困難になってきている。「Splunk(スプランク)」は、そうした問題を解消し、CSIRTにおけるより迅速かつ的確なインシデント対応を支援する。

マクニカネットワークス株式会社
セキュリティ第2事業部
プロダクト第2営業部
第1課 課長
市川 博一

 一般に組織におけるインシデント対応のプロセスは、定常的な「監視」を実施し、「予兆・脅威の検知」を行う。問題が検知された際には「インシデント化」して、そのクリティカルさや被害範囲についての「インシデントの切り分け・対応」を実施。さらに侵入経路等の「調査」を行って、必要な「対策」を講じるというループを形成する。

 これらのプロセスを、インシデント監視・運用チームであるSOC(Security Operation Center)とインシデント対応・分析チームであるCSIRTが適宜分担する。

 ツールという観点では、インシデント監視・運用の領域ではSIEM(Security Information and Event Management)、インシデント対応・分析の領域ではログ解析基盤についてのニーズが高まっている。これらツールについての選定ポイントについて、マクニカネットワークスの市川博一氏は次のように解説する。「まずSIEMでは相関ルールのカスタマイズが可能かどうかといった点が重要です。一方のログ解析基盤に関しては、検索・集計の性能はもちろん、対応するデバイスやログフォーマットの範囲、検索・分析条件の柔軟性などに着目する必要があります」。

あらゆるデバイスのログを柔軟に取り込んで分析

 マクニカネットワークスが提供する「Splunk」は、ログの収集・検索・分析・可視化を支援する製品だ。様々なデバイスからSyslogやFTPなどでログデータを収集。任意のキーによる検索を行って、必要な情報を探し出し、レポートとして状況を可視化できる。また、収集したデータからインシデントを検知するアドオン型のSIEMエンジンも用意されている。

 「RDBを用意することなく利用できるので、データの取り込みに際しての事前定義やスキーマなどが不要なのが最大の特長です。そして、インシデントの調査・分析に必要なデータをあらゆるデバイス、システムから柔軟に取り込めるのも特長です」と市川氏は説明する。

 また、Splunkにはブラウザーベースのインタフェースが用意されている。そこで検索を行い、ドリルダウン操作などを駆使しながら、インシデント対応に必要な分析・調査が効果的に行える。さらに、グラフィカルなダッシュボード上でのリアルタイムなモニタリングをはじめ、イベント相関分析やヒストリカル分析なども容易に実施できるようになっている。

 「Splunkは全世界で9500を超える企業や団体に導入されているほか、国内でも多様な業種のお客様に採用いただき、高い評価を得ています。ぜひ、CSIRTにおけるインシデント対応に活用していただければと思います」と市川氏はアピールした。

[画像のクリックで拡大表示]
お問い合わせ