Splunk Services Japan

散在するシステムのログを一元管理
可視化・分析でリモートワークの安全を守る

クラウドシフトの進行により、膨大な情報資産がオフィス外に存在する状態になった現在、「どこでどんなシステムが稼働しているか」「システムの安全は確保できているか」を把握することは非常に難しくなっている。高度化するサイバー攻撃に備えるには、状況を可視化・分析して対応することが欠かせない。そこで効果的なソリューションの1つとして注目を集めるのが「Splunk」である。その効果とは。

散在するシステムの状況を、ログ分析によって可視化する

Splunk Services Japan合同会社 エンジニアリング本部 シニアセールスエンジニア 山内 一洋氏
Splunk Services Japan合同会社
エンジニアリング本部
シニアセールスエンジニア
山内 一洋
 働き方改革やコロナ禍を契機に、日本でもリモートワークの導入が一気に進んだ。クラウドサービスの活用が進む中、デバイスや情報資産がオフィス外に存在する状態が当たり前になっている。

 これにより、サイバー攻撃のリスクも拡大。攻撃者のターゲットが企業内のシステムからクラウドサービス、リモートワーク環境、協力会社などへ広がった。既知の攻撃手法への防御を念頭に置いた「境界防御」では、もはや十分な安全性を確保できなくなっている。

 それでは、リモートワーク時代のセキュリティ対策にはどのような観点が必要なのか。 これについてSplunk Serviceは大きく3つのポイントを提唱している。

 1つ目は、「あらゆる場所から情報を集められる」ことだ。効果的な対策を打つには、正しい現状認識が欠かせない。企業の情報資産が社内外に散在している現在は、多様なシステムからデータを収集できる仕組みが必須になる。2つ目は「多くのアラートを効率的に分析できる」こと。対応すべきリスクやシステムの種類が増えれば、その分システムが発報するアラートも増加する。セキュリティ担当者のリソースは有限なので、効率的に対処できるようにしておく必要があるだろう。

 「そして3つ目は、『あらゆるユースケースやインシデントに共通して対応できる』ことです。ユースケースやインシデントごとに個別のソリューションで対応していたのでは、運用に多大な負担がかかります。統合的に対応できることが前提となるでしょう」とSplunk Services Japanの山内 一洋氏は言う。

様々な目的のセキュリティ分析を柔軟に実行可能

 そのために同社が提供するのが「Splunk」だ。3つのポイントを押さえたデータプラットフォームとして、膨大なシステムログの収集と可視化、およびデータ分析に基づく次のアクションを支援する。これを活用することで、セキュリティ対策の高度化も図れる。

 「オフィス内のサーバーからはsyslogで、在宅勤務中の社員の端末からはエージェントで、クラウドサービスからはAPIで転送するといったように、多様な方式でデータを収集できます。あらゆるシステムの状況を一元的にSplunkで可視化し、セキュリティリスクへの対応を効率的に進められるようにします」と山内氏は紹介する。

 非構造化データに対応していることも特長だ(図1)。一般的なログ分析基盤は、構造化データのみを扱うため、データ格納時にログのスキーマ(構造化条件)設定が必要になる。ところが、この方式では製品のバージョンアップや更新でログ形式が変わった場合、スキーマ設定を変更しなければならない。  「またセキュリティ分析では、標的型攻撃や内部不正、不正アクセスなどの目的ごとに求められるデータ構造が異なります。あるデータに対し『ここを切り出したい』『こことここをつなげたい』といったニーズが随時発生しますが、スキーマ設定が決まっているとそれがスムーズに行えません。Splunkは、まずデータをそのまま取り込み、利用する際にスキーマを指定する方式を採っています。多様な用途やユースケースに柔軟・迅速に対応できる点が強みです」(山内氏)

 データ収集・分析時の細かい設定も不要。既に数千個以上が公開されている「Splunk App/Add-on」から、目的に応じたものを選ぶだけでデータ収集・分析の設定を完了できる。セキュリティ担当者の負荷を高めることなく、高度な分析が行えるだろう。

タイムリーな提供を支援するクラウドSIEMも提供

 さらに同社は、クラウドSIEM(セキュリティ情報イベント管理)「Splunk Enterprise Security」も提供する。これを併用することで、セキュリティリスクの検出・管理とビジネス保護に向けたオペレーションを高度化できる。

 「Splunk はセキュリティ領域に限定しないシステムログの収集・分析を強みとするソリューションですが、それをセキュリティに特化したオペレーションに落とし込むのがSplunk Enterprise Securityです。少ない画面遷移で、状況を直感的に把握できるインシデントレビュー画面や、リスクの分類・格付け機能、インシデント対応チケットの管理、アクション管理などの機能を網羅的に提供。インシデント対応や事後調査の効率化を支援します」と山内氏は説明する。

 セキュリティ担当者を支援する高度なインテリジェンスも実装する。例えば、それぞれのデータには、関連性の高い様々な情報が付与されて表示される。そのため「誰がどのような攻撃を受けたのか」「被害者は特権アクセスを持っているのか」「今後どのようなリスクが想定されるか」といったことを、前後のストーリーを含めて把握可能だ。「付与する情報はコンテキスト(文脈)を基にシステムが判断してくれます。これにより担当者は適切な対応をより直感的に行えるようになるでしょう」と山内氏は語る。

 さらに、隠れた侵害の痕跡を見つけるリスクフレームワークも提供。このフレームワークでは、リスクの原因をユーザー、システムなどに関連付けて整理することで、重要度の高いアラートを発報するようにしている(図2)。「冒頭でも紹介した通り、今日のセキュリティ対策において対応負荷の軽減は非常に重要な問題です。リスクの高い本当に必要なアラートだけに絞りこむことで、担当者のリソースを一層の対策高度化に充てることが可能になるはずです」と山内氏は強調する。

 統合的かつ効率的なシステムの可視化・分析と、SIEMによるタイムリーなリスク対応を支援するSplunk Service。ニューノーマル時代、求められるセキュリティ対策を模索中の企業は、ぜひ一度検討してみることをお勧めする。
TOPへ
関連リンク
お問い合わせ
Splunk Services Japan合同会社 〒100-0004 東京都千代田区大手町1-1-1 大手町パークビルディング8F
TEL:03-6206-3780
URL:https://www.splunk.com/ja_jp
E-mail:splunkjp@splunk.com