ゼロトラストを実装するには、7つの主要な領域がある。「データ」「ネットワーク」「ピープル(人)」「ワークロードとアプリ」「デバイス」「可視性と分析」「SOAR(Security Orchestration and Automated Response)」である。このうち、可視性と分析およびSOARの部分の基盤を提供しているのがSplunkである。
まず、可視性と分析の領域を担うのが「Splunk Enterprise Security」である。
Splunk Enterprise Securityは、「データ」「ID」「デバイス」「ネットワーク」「ワークロード」という制御すべき5つの領域について、あらゆるマシンデータを収集・保管し、収集したデータの検索や加工を行う。加工した情報を可視化し、しきい値や、機械学習を利用してアラートを発報するといった機能を有している。
一方、SOARとして提供されているのが「Splunk Phantom」だ。
こちらは「観察(Observe)」「状況判断(Orient)」「意思決定(Decision Making)」「行動(Acting)」からなる、いわゆる「OODAループ」の高速化による高度なセキュリティ運用を実現することができる。
「こうした仕組みを導入して、個々の作業のオーケストレーションにより自動化することで、これまで非常に時間のかかっていたセキュリティオペレーションを劇的に省力化することが可能。Tire1(監視)の作業を90%程度削減することに成功したというお客様も多くいらっしゃいます」と矢崎氏は語る。
新たに提唱され始めた考え方であるから、ゼロトラストのアーキテクチャを実装するアプローチについては様々な考え方があるが、基本的には「対象領域の決定」を行い、「ポリシー設計」を行って、「ゼロトラストの実現」をしていくというス3つのステップとなる。Splunkではこれらの各ステップに対し有効な機能を提供。ゼロトラスの実装を強力に支援している。
ゼロトラストのモデルを採用した新時代のセキュリティ対策の採用が、企業に強く求められる中、Splunkに対する期待も大いに高まっている。