組織の間ではデジタルトランスフォーメーションが急速に進んでいます。レガシーシステムからマルチクラウドベースのサービスに移行すれば、リソースを節約するとともにイノベーションを大規模に展開できます。優れたセキュリティプログラムを構築するならば、それはこうしたトランスフォーメーションの要求に対応し、組織を保護して、イノベーションを可能にするものでなければなりません。
また、優れたセキュリティプログラムではデータを重視する必要があります。データ中心のセキュリティソリューションは、検出の精度向上と調査の迅速化を後押しします。データを十分に活用できないと、脅威の滞留時間が長引き、調査が表面をかき回すだけの浅いものとなり、金銭的損害や組織の評判低下につながる深刻な問題に発展する可能性があります。
さらに、優れたセキュリティプログラムは、SOC (セキュリティオペレーションセンター)の日常業務の負担軽減につながらなければなりません。セキュリティチームは、大量のアラート、繰り返しの作業、限られたリソース、サイバーセキュリティのスキル不足、セキュリティ状況の不透明さ、セキュリティに関する標準作業手順の欠如、脅威の検出、調査、対応の遅れなど、さまざまな問題に悩まされています。
データ中心のSOCを実現するデータ中心のセキュリティプラットフォーム
Splunkは、他のセキュリティベンダーとは根本的に異なるアプローチを取り入れています。Splunkのアプローチは、データをセキュリティの問題として捉え、あらゆるセキュリティ機能の中心に据えることで、データ中心のSOC構築を支援します。Splunkのセキュリティ分析における強みは、まず、Splunkプラットフォームにあります。組織内のあらゆるデータを取り込み、正規化して、インサイトを提供することで、脅威の見落としを防ぎます。さらに、Splunkのテクノロジーパートナーとユーザーによる大規模なコミュニティが、お客様同士をつないで、すべてのお客様に効果的に支援を行き渡らせます。
Splunkプラットフォームとコミュニティという強みを基盤に、機械学習ベースの分析を独自に組み合わせることで、マルチクラウド環境での脅威の検出と重要なインサイトの導出、大量のアラートを組織のリスクプロファイルに基づいて優先順位付けした確度の高いインシデントに変換するリスクベースアラートを実現しています。さらに、脅威インテリジェンスの統合と補強を行うことにより、脅威のコンテキストをすばやく把握してトリアージから調査、対応までを円滑化します。リアルタイムのアノマリ検出を通じて、エンティティ(ユーザーと資産の両方)に重点を置いたコンテキストも追加されます。お客様はこれらの情報にすばやくアクセスして、重要なイベントやアラートを評価し、適切な判断を行うことができます。
では、新機能の紹介に移りましょう。まずは、Splunk Enterprise 9.0とSplunk Cloud Platformの新しいイノベーションです。
- Ingest Actionsによって、データの取り込み時に変換や転送が可能になりました。これにより、セキュリティユースケースに重要なデータのみを取り込み、重要度の低いデータセットの取り込みおよび保管コストを削減できます。たとえば、エンドポイントからの大量のストリームデータをフィルタリングすることで、価値の高いデータのみをSplunkに取り込むことができます。重要度の低いデータはS3に転送できます。また、機密データを取り込み時にマスキングしたり、セキュリティデータの理解に必要なコンテキストを追加したりすることも可能です。
- すでにアマゾン ウェブ サービス (AWS)で提供されていたSmartStoreがAzureでもサポートされ、Azureを利用するお客様に柔軟なオプションが追加されました。SmartStoreでは、エンドポイントデータや詳細なテレメトリなど、フォレンジック調査でサーチを行う際に重要となるソースから大量のセキュリティデータを取り込んで、Azure Blob Storageなどに保存できます。これにより、可用性を維持しながら大量のデータをより低コストで保管できます。
- 統合サーチによって、分散環境、オンプレミス、クラウドで横断的に脅威ハンティングができるようになりました。統合サーチで標準モードと透過モードのどちらでも、分散したデータをセキュリティユースケースに取り込み、データモデルとtstatsを使ってリモートデータセットに対して大規模に脅威ハンティングを実行できます。
- Data Managerでは、複数のサービスとアカウントのデータをすばやくオンボーディングできます。AWSとAzure、そしてまもなくサポート予定のGCPから、データを極めて簡単に取り込み、マルチクラウド対応のセキュリティ監視ダッシュボードで表示できます。Splunk脅威調査チームが作成したすぐに使える150以上の検出機能とSplunk Enterprise Securityのリスクベースアラートを連携するように、マルチクラウドソースを短時間で設定できます。
次に、セキュリティチームが増え続けるアラートに対応し、脅威をよりすばやく検出して修復し、セキュリティ分析の手動作業を削減するために役立つ、Splunk Enterprise SecurityとSplunk SOARの新しいイノベーションをご紹介します。
- Splunk Enterprise Securityのリスクベースアラートでは、リスクをユーザーやシステムに関連付けて、リスクや行動に関するしきい値を超えた場合にのみアラートを生成できます。これにより、ノイズの多い大量のアラートを、組織にとってのリスクに基づいて優先順位付けし、確度の高い少数のインシデントに変換できます。また、関連する複数のイベントを1つのインシデントにまとめて、調査と解決を迅速化することも可能です。これにより、時間を節約すると同時に、セキュリティ運用の負担を軽減できます。リスクベースアラートはすぐにでもお試しいただけます。
- ゼロトラストアプローチを自動的に適用できます。クラウドが普及しネットワーク境界が薄れつつある中で、ゼロトラストアーキテクチャの重要性が高まっています。ゼロトラストを実現するには、常に最新の検出および制御技法を取り入れて、アイデンティティ、デバイス、仮想ネットワーク、アプリケーション、データを監視し、保護する必要があります。Splunk Enterprise Securityのリスクベースアラートなら、ゼロトラストアプローチに基づいて、未知のアクセスパターンや新しいタイプの攻撃を監視できます。また、このゼロトラストアプローチを適用して、Splunk SOARとRisk Notable Playbook Packを使ってタスクを自動化することで、対応までの時間を短縮することもできます。その実践方法については、こちらのウェビナーをご覧ください。
Splunkセキュリティソリューションのこれらの新機能をぜひご体験ください。環境が複雑化する中で脅威が拡大し続け、組織はセキュリティ対策に行き詰まりがちです。Splunkのデータ中心のセキュリティアプローチなら、その状況を打開し、サイバーセキュリティのレジリエンスを実現して、予測不能な脅威から組織を守ることができます。
Splunkのセキュリティソリューションについて詳しくは、splunk.com/ja_jp/cyber-security.htmlをご覧ください。
#splunkconf22のハッシュタグが付いたツイートをぜひご確認ください。
