2020年は歴史的にも大きな変化がもたらされた年でした。そして昨年は私たちも、クラウドへの大規模な世界的移行が一夜にして行われたかのようだと述べました。しかし、この「一夜にして」行われたと思われた移行は現在も進行中であり、昨年からの課題は引き続き残ったままであることがわかってきました。その中でも、複雑化するハイブリッドおよびマルチクラウドインフラは重要な課題の1つです。もちろん、セキュリティの可視化の欠如やそれがもたらす攻撃対象の拡大といった課題は言うまでもありません。
『2021年のセキュリティの現状』で実施された調査によると、デジタルトランスフォーメーションのスピードアップは最優先の課題として取り組まれていなかったようで、84%の組織が過去2年間に重大なセキュリティインシデントを経験しています。それだけでなく、49%の回答者がこの2年間でセキュリティ要件に対応することがより困難になったと回答しています。また、76%の回答者がリモートワーカーの保護は困難であり、SOCチームの対応が後れを取るのも無理はないと回答しています。
組織は今、エコシステム全体を可視化できない、SOCでアラートが大量に発生している、情報のコンテキスト化や自動化が進まないといった問題に直面しています。デジタルトランスフォーメーションを効果的に進めるにはセキュリティが不可欠であり、それを実現するのもセキュリティです。Splunkはそのための支援を行っています。
セキュリティのためのSplunk
Splunkは、脅威の滞留時間や解決時間の短縮が強く求められていると考えています。そこで今週の.conf21では、脅威に対抗し、トランスフォーメーションを安全に進めるための機能紹介や告知を行います。
Enterprise Security Cloud
Enterprise Security Cloudでは、以前に発表した機能の改善を引き続き行うと同時に、現在のSOCに欠かせない新機能を追加しています。その新機能をご紹介します。
Executive Summaryダッシュボード
Enterprise Securityでは、使用しているセキュリティプログラムの実行状況についての多くのメトリクスが提供されます。新しいExecutive Summaryダッシュボードには、SOCの全般的な健全性に関するインサイトを示すKPI (重要業績評価指標)が表示されるため、CISOやその他のシニアリーダーに対するレポートを容易に作成できます。
Executive Summaryダッシュボードでは、以下の項目を素早く確認することができます。
- 平均トリアージ時間
- 平均解決時間
- 調査件数
- リスクベースアラートの傾向
- その他
セキュリティ運用ダッシュボード
Executive Summaryダッシュボードと同様、セキュリティ運用ダッシュボードでも主要なインサイトを取得できますが、このダッシュボードではSOCマネージャーやチームリーダー向けの詳細な分析が表示されます。以前のEnterprise Securityには、インシデントレビューのディスポジション機能がありました。この機能を使用すると、イベントが真陽性、誤検知、良性の陽性のいずれであるかを記録することができます。新しいバージョンでは、このデータを経時的に表示およびレポートして、デフォルトの4つのディスポジションタイプそれぞれの要因となる関連ソースを詳しく調べることができます。これによって、詳しく調査すべきイベントと無視しても良いイベントを判断できるようになります。
クラウドセキュリティ監視ダッシュボード
また、クラウドセキュリティ監視ダッシュボードの機能も拡張されています。これによってAWSセキュリティグループやAWS IAMアクティビティなどの新しいダッシュボードが追加され、アマゾン ウェブ サービス環境の可視化機能が強化されただけでなく、Microsoft 365のデータを取得する新しいダッシュボードも追加されました。
リアルタイムの自動コンテンツ更新
製品内にリアルタイムの自動コンテンツ更新機能が追加されました。Splunk脅威調査チームによる最新のセキュリティコンテンツが利用可能になると、それをワンクリックで取り込むことができます。
Security Cloudの行動分析機能(プレビュー)
Splunk Security Cloudの行動分析機能(現在はプレビュー)では、ストリーミングセキュリティ分析機能を使用した脅威検出が可能で、未知の脅威およびユーザーやエンティティの異常な行動を検出できます。また、クラウドのSIEMに、サーチベースの相関分析やバッチ分析といった従来の機能に加えて、リアルタイムのサーチと分析の機能が加わることで、平均検出時間を短縮し、行動に関するリスクベースで精度の高いアラートの追跡に多くの時間を割くことができるようになります。
Splunk Security Essentials
Splunk Security Essentialsでは事前構築済みの検出機能と分析ストーリーを利用できます。分析ストーリーとは、Splunk Security Essentialsのセキュリティユースケースにおける攻撃やイベントなどに対応する検出機能をグループ化したものです。また、.conf21までには、Splunk Security Essentials 3.4.0で、MITRE ATT&CKによる業界基準の推奨検出方法の導入とカスタムコンテンツマッピングの拡張が行われます。さらに、有用なSplunkbaseアドオンを見つけるための新機能も追加され、現在の環境でより多くのセキュリティコンテンツを利用できるようになります。
SOAR
Splunk SOARを使用すれば、コーディングできない初心者からSOARの上級ユーザーまで、誰でも自動化を実現できます。Splunkは、価値実現までの時間を短縮できるように、ユーザーエクスペリエンスの変更と改善に注力しています。
Visual Playbook Editor
新しいVisual Playbook Editorではインターフェイスがシンプルになり、セキュリティタスクの自動化がこれまで以上に簡単になりました。主な変更点は以下のとおりです。
- 視認性と操作性の向上
- プレイブックの縦方向表示
- カスタムコードへの依存度を低減
SplunkbaseのApp
Splunk SOARのAppがSplunkbaseから利用できるようになりました。Splunkbaseは、Splunkのパートナーとコミュニティによって構築されたテクニカルインテグレーションの大規模なエコシステムであり、SOARの機能を拡張するためのワンストップショップとして利用できます。
App Editor
新しいApp Editorでは、既存のAppの表示、テスト、拡張、編集に加えて、新規のAppの作成をSOARのユーザーインターフェイスから簡単に実行できます。これによって以下が実現します。
- すべての開発工程を1つのUIで行い、時間と労力を削減
- コードの表示と追加、動作のテスト、ログによる結果の確認とトラブルシューティングを簡単に実行
- Appの機能をさらに詳細に可視化し、ユースケースにあわせて変更
TruSTAR Intelligence Management
TruSTAR Intelligence Managementを使用すると、企業内および企業間のデータサイロを解消し、セキュリティの効果をビジネス目標と整合させ、サイバーレジリエンスと運用効率を向上させることができます。SplunkとTruSTARの統合が継続されることで、両社のユーザーには以下のようなメリットがあります。
- インテリジェンスソースのノイズを低減し、アラートの優先順位付けを改善
- チーム、ツール、パートナー間で脅威インテリジェンスデータを簡単に共有
- インテリジェンスの正規化に基づくエンリッチメントにより、Splunk SOARプレイブックの効率が向上
SURGe
セキュリティ脅威の複雑さは急激に高まっていますが、専門家の知識、洗練されたプロセス、最先端のテクノロジーを利用できれば、組織は常にプロアクティブにビジネスを保護できます。SURGeは、コンテキストに基づく情報とインシデント初動対応テクニックをタイムリーに提供することで、注目度が高く一刻を争うサイバー攻撃にセキュリティチームが速やかに対応できるように支援します。SURGeによるテクニカルガイダンスをタイムリーに活用することで、セキュリティチームは混乱の中でも状況を正確に把握して、平均検出時間と平均対応時間を短縮できます。
SURGeを利用すると以下のことが実現します。
- インシデントの初動対応テクニックによってブルーチームを支援
- 信頼できる脅威インテリジェンスを利用して脅威に先手を打つ
- Splunkの人材、プロセス、テクノロジーを活用してビジネスを保護
注目度の高いサイバー攻撃について通知を受け取りたい場合は、アラート通知に登録 して、SURGeによるインシデントの初動対応ガイドを入手してください。
Splunkがクラウド時代のセキュリティ体制構築をどのように支援するのか、もっと詳しくお確かめになってみませんか?20,000人を超えるSplunkのお客様とパートナーとご一緒に、.conf21のオンデマンド配信で、Splunkのセキュリティポートフォリオ全体にわたるアップデートや詳細なデモをぜひご覧ください。
#splunkconf21のハッシュタグが付いたツイートをぜひご確認ください。
