サイバーインテリジェンス セキュリティマネジメント Summit
2025 Winter
Splunk Services Japan

SplunkとCiscoの
先進ソリューションで実現する
AIを活用した「インテリジェントSOC」

生成AIの急速な普及は、ビジネスの効率化や新たな価値創出をもたらす一方で、サイバー攻撃の高度化という深刻なリスクも招いている。こうした脅威に対抗するには、従来型のセキュリティー運用では不十分であり、脅威検知・調査・対応の一連のプロセスにAIを取り入れた次世代のSOC(Security Operation Center)への進化が不可欠となる。Splunkの講演では、セキュリティー監視の現場で豊富な実績を持つSplunkや、Ciscoの先進ソリューションで実現する「インテリジェントSOC」の概念と、その主要機能について解説された。

  • TDIR運用モデルでの
  • AI活用を推進

TOPへ
Splunk Services Japan合同会社 シニア・セキュリティ・ソリューションアーキテクト 阿部 浩人氏
Splunk Services Japan合同会社
シニア・セキュリティ・ソリューションアーキテクト
阿部 浩人
 いまや生成AIツールはビジネスの現場だけでなく日常生活まで普及し、広く使われるようになった。ただし、残念ながらユーザーは善良な人々だけではない。サイバー犯罪者もAIを悪用して攻撃を高度化しているのが現実だ。

 Splunk社が公開したCISOレポートによれば、生成AIについて懸念すべき脅威として、フィッシングメールの巧妙化のほか、セキュリティー対策を回避する新種のマルウエアの登場、ターゲットごとに最適化された心理的誘導を行う適応型ソーシャルエンジニアリング攻撃などが挙げられている。

 「これらの攻撃は、今後さらに増加していくと予想されます。サイバー犯罪でAIが悪用され、攻撃がますます高度化・巧妙化している現在、防御側もAIを活用し、対策を強化していくことが急務となっています」とSplunk Services Japanの阿部 浩人氏は説く。

 それでは、具体的にどんな観点から対策を強化すればよいのだろうか。阿部氏が重要な概念として提示するのが「TDIR(Threat Detection, Investigation and Response )」である。この運用モデルにAIを組み込むことで、脅威の検知・調査・対応をより高度なレベルへ引き上げられるという。「既にSplunkは、そうしたAI活用に向けた様々な新機能をリリースしています」と阿部氏は話す。

 背景には、Splunkのデータマネジメント戦略がある。長年にわたりセキュリティー監視で培ったノウハウから生まれた製品群は、外部脅威の監視にとどまらず、内部不正対策やOTセキュリティー、金融機関におけるFraud(不正行為)対策、サイバーハイジーン、コンプライアンス対応など幅広い領域で活用されている。そこに「Cisco XDR」や「Cisco AI Defense」を組み合わせることで、セキュリティーリスクの対応範囲をさらに広げていくことができる。

 すなわち、ますます多様化・広範化していくセキュリティーリスクに対応する「インテリジェントSOC」を、Splunkを中核としたTDIRプラットフォームや、Ciscoの先進ソリューションの活用によって実現できるのだ。

  • 「インテリジェントSOC」を
  • 実現する主要機能

 ここからは、「インテリジェントSOC」を構成する主な技術について見ていきたい。まずはAIを活用したセキュリティー運用の重要な機能となる「Splunk MCP Server」だ。Anthropic社が開発したオープンスタンダード「MCP(Model Context Protocol)」をベースに、AIシステムとSplunkプラットフォーム間など、外部ツール間のデータ連携を安全に仲介し、APIを介した双方向通信を可能にする仕組みだ。

 「例えばClaudeやChatGPTなどのAIアシスタントを使ってチャット形式で対話し、セキュリティーデータの分析結果やレポートを自動生成することができます。この活用のハードルは決して高いものではなく、MCPクライアントとSplunkプラットフォームの簡単な設定を行うだけで、すぐに使い始めることができます」(阿部氏)

 SOCの中心的な役割を担うのは、SIEM製品の「Splunk Enterprise Security」である。

 「シンプルでありながらも高度なアナリストビューを提供し、包括的なセキュリティー監視体制を実現します。『Cisco XDR』や『Cisco SNA』からのデータもシームレスに連携できるため、多角的なインシデント検知・分析が可能となります(図1)。さらにAmazon S3やAmazon Security Lakeといった外部データソースも活用できるなど、Splunk上で横断的かつ柔軟な調査・分析業務を支援します」(阿部氏)
図1 脅威の検知・調査・対応を統合 図1脅威の検知・調査・対応を統合 「Splunk Enterprise Security」が、SOCオペレーションの中心を担う。シンプルかつ高度なアナリストビューを通じて、包括的なセキュリティー監視を実現する。CiscoのXDRやSNAから、シームレスにデータを取り込むことも可能だ
 そして、Splunk Enterprise Security上でのAI活用をサポートし、セキュリティーインシデント対応を効率化するのが「AI Assistant in Enterprise Security」である。

 「この機能を利用すれば、調査をおこなうアラートのサマリを自動生成し、攻撃手法について質問するほか、調査用のクエリーを生成することも可能です」(阿部氏)

  • AIアプリ保護やAIへのアクセス統制、
  • 内部脅威対策も強化

 先に触れた「Cisco AI Defense」は、AIアプリケーションの保護とAIへのアクセスの統制を一体で実現するソリューションだ。

 「AI Defenseはネットワークに統合されたガードレールとして機能し、運用中のAIアプリケーションを保護します。これにより、敵対的攻撃や有害なレスポンスをリアルタイムで遮断することができます(図2)。また、AIモデルとアプリケーション検証の機能により、AIモデル全体にわたる安全性・セキュリティー上の脆弱性を特定します。加えて、アルゴリズムベースのレッドチーム演習テクノロジーが、数秒単位でAI関連リスクの評価を実現します。そのほかサードパーティ製AIアプリケーションへのアクセス監視と管理の機能を提供します。これらの機能により、機密情報漏えいの抑制および外部脅威から保護するポリシーを適用できます。また、運用連携として、Splunkと統合し、アラートにAI Defenseの検知コンテキストを付加することで、SOCの調査と対応を加速します」(阿部氏)
図2 「Cisco AI Defense」の概要 図2「Cisco AI Defense」の概要 AIアプリケーションの保護とAIへのアクセスの統制を一体で実現する。開発から実行、利用段階まで全方位でカバーし、企業のマルチモデル/マルチクラウド環境で AI を安全に活用できる基盤を提供する
 一方、内部脅威対策のソリューションとしては「Splunk UEBA」がある。振る舞いベースの異常検知と教師なし機械学習を組み合わせ、ユーザーや端末ごとにリスクスコアを加算し、不正行為を検知する仕組みだ。

 「権限の悪用や内部ネットワークでの横移動、不正アクセスなどの異常を検出します。ルールベースの検知だけに頼らず、アカウントの乗っ取りやデータ流出を含む内部脅威を特定するのが特徴です。ユーザーアクティビティー、デバイスとのやりとり、クラウドアクセスを一元的に可視化することにより、セキュリティーリスクをより詳細に把握することが可能となります。また、ユーザー・アセットの紐付けを行うことで、複数のアセットにまたがる異常な行動を相関付けるほか、Detection heatmapで検知したUEBAのルールを確認することができます」(阿部氏)

 そして最後に注目しておきたいのが、検知エンジニア向けの新たなワークベンチとして提供される予定の「Detection Studio」だ。これは前述したSplunk Enterprise Securityの機能の1つとして、SIEMによる検知のカバレッジギャップを明らかにするものだ。

 「可視性ギャップ(対応するデータがないため検知ができない)とコンテンツギャップ(データはあるが対応する検知ルールがない)の両方を特定し、ダッシュボード上で可視化します。加えてMITRE ATT&CKフレームワークのカバレッジ状況もダッシュボード上に表示するほか、200を超えるSplunk社提供の検知ルールを収録したDetection Libraryも付属しています」(阿部氏)

 なお、SplunkとCiscoの両社は、今後に向けてもセキュリティー領域で先進的な役割を果たす連携ソリューションを提供していく予定だ。AIを活用したインテリジェントSOCは、インシデント対応の効率化、内部脅威への対応強化、そして包括的な検知のカバレッジ管理など、組織のセキュリティー運用の強化において、ますます重要な鍵を握ることになる。
関連リンク
お問い合わせ
Splunk Services Japan合同会社 URL:https://www.splunk.com/ja_jp
PAGETOP