Federated Analytics：あらゆる場所にあるデータを分析してセキュリティをすばやく包括的に可視化

データは今日、クラウド、オンプレミス、ハイブリッド環境に分散して存在します。セキュリティチームは、これらのデータにすばやくアクセスして分析し、インサイトを引き出し、潜在的な脅威を見つけ出す必要があります。しかし、データが爆発的に増加し、脅威が巧妙化する中で、環境の可視性を維持し、ステルス性の高い攻撃を検出して、セキュリティインシデントにすばやく対応することはますます困難になっています。従来のアプローチでは、多くの場合、複雑なデータサイロに対処しなければならず、分散環境で求められるコンテキスト重視のリアルタイム分析はサポートされていません。

その結果、以下の4つの問題が起こりがちです。

• データの可視性が断片的になる。セキュリティ運用(SecOps)チームは複数のプラットフォームに散らばったさまざまなデータに対応しなければならず、セキュリティデータの全体像を把握するのが極めて困難になります。
• データ管理に必要なリソースを効率的に使用および割り当てできない。これには、人的リソースとコンピューティングリソースの両方が含まれます。
• データが多すぎてセキュリティ対策が後手に回り、プロアクティブに対応できない。脅威の状況がますます複雑化し、データ量が急増する中で、脅威を迅速かつ正確に検出して対応することが難しくなっています。その結果、対応が後手に回り、重要なインシデントへの対処が遅れて、セキュリティ対策の効果が下がる可能性があります。
• データの量、アクセス性、コストのバランスを維持できない。組織内で生成されるすべてのデータをセキュリティ分析ツールに取り込むのはコストがかかりすぎます。データを適切なストレージに転送しながら、必要なデータにオンデマンドでアクセスできるようにする場合にも課題があり、運用コストの削減と、セキュリティの可視性や検出能力の維持の間でCISOは難しい決断を迫られます。

データ統合への道

Splunk Cloud PlatformとSplunk Enterprise Security (クラウド版)でプレミアムアドオン機能として利用できるFederated Analyticsを使えば、データがどこにあっても(Splunk内でもAmazon Security Lake内でも)データを分析でき、さらにデータレイクとSplunk間でデータを動的に移動することもできます。これにより、低コストのデータレイクストレージを活用しながら、選択したデータのみをオンデマンドでSplunkに取り込むことで、検出の高速化や詳細なドリルダウン検索を実現できます。このアプローチを取り入れれば、データの完全性を維持し、遅延を低減できるだけでなく、あらゆる保存場所のデータにアクセスして分析できるようになり、包括的な可視性がもたらされます。Federated Analyticsを活用することで、検索のパフォーマンスを向上させ、レポート作成を迅速化して、セキュリティ運用プロセスの効率と費用対効果を高めることができます。さらに、データサイロによる制約が解消されるため、データを徹底的に調査して、潜在的な脅威を検出できるようにもなります。

Federated Analyticsなら、Amazon Security Lakeに保存されたデータを含めて調査を行う際に、必要なデータセットのみを調査およびクエリーの対象にできます。また、パフォーマンスを向上させるために、選択したデータセットをSplunkに取り込むこともできます。このように、実行頻度は低くても重要なサーチをAmazon Security LakeのS3内で直接実行できる機能は、アドホックな脅威ハンティングに欠かせません。コンプライアンスや長期的な監査のニーズに対応するときは、Federated Search for Amazon S3を使って、データレイク(S3)内にある必要なデータにアクセスし、Splunk内に結果を返すことができます。この高度な分析ソリューションにより、データのクエリーおよび利用を最適化することで、運用プロセスを効率化し、ITコストを大幅に削減できます。特に、重要なアドホック調査でS3を検索する際のコストを最小限に抑えられます。

Splunk Federated Analyticsは、高度な分析と機械学習を活用することで、組織の脅威検出能力を強化し、業務にすぐに活かせる実用的なインサイトを提供します。既存のSplunk導入環境の機能をシームレスに拡張して、すべてのデータ環境をまたぐリアルタイムのセキュリティ管理を実現します。Splunk Federated Analyticsを導入すれば、セキュリティ運用の効率と俊敏性を新たなレベルに引き上げて、脅威の検出と対応を迅速化し、進化する脅威や複雑な攻撃ベクトルへの防御を強化できます。

アマゾン ウェブ サービス (AWS)社のチームもこの新機能を歓迎しています。同社のリスク管理担当ディレクターであるMark Terenzoni氏は次のように話しています。「Splunk Federated Analyticsの一般提供が開始され、お客様はこれまで以上に多くのログを分析できるようになりました。Amazon Security Lakeによってセキュリティログの集約が効率化され、Amazon S3にログを長期間保存できます。さらにFederated Analyticsを追加することで、監視や脅威ハンティングといった主要なSOCユースケースに対処できるようになります。また、Splunkと協力し、調査のためにデータを移動することなく、大量のデータソースに対して必要な分だけインデックスできるよう取り組んでいます。Federated AnalyticsとOpen Cybersecurity Schema Framework (OCSF)の組み合わせは、サイバーセキュリティにおけるイノベーション推進と効率化という両社共通のビジョンを明確に実現しています」

Accenture社をはじめとするSplunkのテクノロジーパートナーは、Federated Analyticsを導入する大きなメリットはお客様の全体的なセキュリティ態勢の強化にあると見ています。「セキュリティデータを包括的に可視化することは、お客様の長年の課題でした」と、Accenture社のAWSセキュリティビジネス担当グローバルリードであるTony Harris氏は言います。「データの取り込みコストとワークフローの効率の悪さが、長い間、包括的な可視化による業務の強化を阻んでいました。今ではFederated Analyticsのおかげで、環境全体を可視化し、かつてないほどすばやく効率的に問題に対応できます」

では、Federated AnalyticsでIT運用やセキュリティの課題をどのように解決できるのか、もう少し具体的に見ていきましょう。

データの可視性が断片的：セキュリティデータを包括的に可視化

セキュリティチームは、データを断片的にしか可視化できないという問題を抱えています。データはあらゆる場所にあり、包括的に可視化することが困難です。SplunkのFederated Analyticsを使えば、さまざまな場所に分散するデータソースを統合して包括的に可視化できます。これはセキュリティデータの可視性向上だけでなく、データを手動で取り込む負担の軽減にもつながります。そのため、包括的なセキュリティ分析を妨げる危険な盲点が生じるのを回避できます。

Federated Analyticsは以下の機能を提供します。

• 包括的なセキュリティビュー：SplunkとAmazon Security Lakeの両方のデータを統合して分析することで、データの移動に労力やコストをかけることなく、セキュリティの全体像を把握できます。
• データへのリアルタイムアクセス：ネイティブ環境からデータにリアルタイムでアクセスして分析できるため、情報に基づくタイムリーな意思決定が可能になります。
• データ分析の効率化：手動でデータを複製したり移動したりする手間やコストをかけることなく、保存されているデータに直接アクセスして効率的かつ一元的に分析を行えます。

リソース使用が非効率：スマートなリソース管理を実現

セキュリティチームはリソースの割り当てに関する課題にも直面しており、セキュリティデータの管理において、人的リソースの使用もコンピューティングリソースの使用も非効率的であることが少なくありません。Federated Analyticsを使えば、データのクエリーや分析の正確性と効率を向上させてリソースの使用を最適化し、運用のコスト削減と負担軽減を実現できます。

Federated Analyticsは以下の機能を提供します。

• 選択的なデータ分析：必要なデータのみをAmazon Security LakeとSplunkから正確に取得して分析できるため、コンピューティングリソースを最適化し、付加価値の高い業務に集中できるようになります。
• データプロセスの自動化：Federated Analyticsでは、Open Cybersecurity Schema Framework (OCSF)を活用してデータプロセスを標準化できます。そのため、Splunkとデータレイクの統合を再構築することなく、ニーズに基づいて柔軟にデータソースを追加、削除、置換できます。これにより、セキュリティチームの貴重な時間の多くを戦略的な業務に割り当てて、脅威検出や管理のスピードと正確性を向上させることができます。
• 価値に見合ったコスト最適化：Amazon Security LakeとSplunk Federated Analyticsを使用して運用コストを最適化できます。データ階層化戦略を導入してストレージコストとイングレス/エグレスコストを削減するほか、セキュリティスキーマを標準化し、クラウドの拡張性を活かして、データ管理のコスト効果を高めることもできます。

脅威の検出、調査、対応がリアクティブ：プロアクティブにインシデントを管理

セキュリティチームでは、インシデントへの対応が後手に回りがちです。データが増加し、脅威が巧妙化する中で、脅威を迅速かつ正確に検出して対応することが難しくなっています。Splunk Enterprise Security (クラウド版)のFederated Analyticsを使えば、脅威の状況の複雑化やデータ量の増加に直面する中でも、保存されたすべてのデータを分析してプロアクティブに脅威を検出、調査し、対応できます。この分析機能によって、タイムリーで正確な脅威管理が可能になるため、セキュリティ運用を強化できます。

Federated Analyticsは以下の機能を提供します。

• 高度な脅威検出：高度な分析によって、統合されたデータ環境全体で脅威を検出し、優先順位付けできます。これにより、特に関連性の高い情報に迅速にアクセスし、脅威検出のスピードと正確性を向上させることができます。
• 調査機能と対応機能の統合：複数のデータソースにまたがるワークフローで調査と対応が効率化され、脅威の分析とセキュリティインシデントの解決を迅速化できます。この統合によって、いざというときに適切なデータにアクセスできるようになるため、迅速な意思決定や効果的なインシデント管理が促進されます。
• コンテキストに応じたインサイトとワークフロー：豊富なデータコンテキストと統合されたワークフローによって、脅威の検出、調査、対応を強化できます。このアプローチでは、セキュリティの精度が上がり、盲点が最小限に抑えられ、過剰なアラートを避けられるため、セキュリティ運用の透明性と可視性が向上します。コンテキストに応じたインサイトを活用することで、包括的で関連性の高いデータに基づいて意思決定を行い、適切なデータに適切なタイミングでアクセスするメリットを最大限に引き出すことができます。

Federated Analyticsをぜひご利用ください

Federated Analyticsは、Splunk Cloud PlatformとSplunk Enterprise Security (クラウド版)のプレミアムアドオン機能としてすでに一般提供が開始されています。Federated Analyticsについて詳しくは、Splunkの営業窓口にお問い合わせください。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。