ログで基盤を整える：Splunk Asset and Risk Intelligenceによる統合とイノベーション

このブログシリーズの最終回では、まず、複数のデータシステムに分散する資産とリスクを管理する際の課題を取り上げます。次に、Splunk Asset and Risk Intelligence (ARI)をさまざまなプラットフォームと統合してセキュリティ態勢を一元的に可視化する方法をご紹介します。最後に、今回のブログ記事の要点をまとめ、ステップバイステップガイド付きのデモをご覧いただきます。このブログシリーズをまだお読みになったことがない場合は、第1回、第2回、第3回をぜひご覧ください。全体を通して読むことで、Splunk Asset and Risk Intelligenceとその機能をより深く理解できます。

資産管理の課題

脅威ハンティング、資産インベントリの最新情報の維持、リスク管理のいずれにおいても、複数のシステムに分散する攻撃対象領域を調査するのは手間のかかる作業です。組織では大量のデータが生成されるため、その処理の負担は大きく、侵害の痕跡(IoC)を特定するのは容易ではありません。さらに、分散するシステムのデータを集約して相関付けるのは、複雑で時間のかかる作業です。複数のセキュリティツールを使用している場合、データの収集と分析で矛盾が生じることもよくあります。こうした複雑さが誤検知の増加につながり、最終的には脅威の検出や対応を妨げることになります。

Splunk Asset and Risk Intelligenceとの統合

オブザーバビリティやセキュリティの状況は刻々と変化するため、さまざまなテクノロジー間でデータを統合して連携させることが非常に重要です。Splunk Enterprise Security、ServiceNow CMDB、コンプライアンスフレームワーク間のデータ共有を効率化すれば、作業時間の大幅な短縮につながります。複数のプラットフォームからデータを収集して活用することは、時間の節約とSOC (セキュリティオペレーションセンター)業務の効率向上に大いに役立ちます。この後のセクションでは、Splunk Asset and Risk Intelligenceで使用できるいくつかのインテグレーションと、その機能によって運用効率を向上させる方法をご紹介します。

ServiceNow CMDB

構成管理データベース(CMDB)の情報が最新の状態になっていない場合、重大な問題につながることがあります。特に、監査においては注意が必要です。コンプライアンス監査で不合格になった場合、それによって被る平均損失額は最大で400万ドルにのぼると推定されます。Splunk Asset and Risk IntelligenceとServiceNowを統合すれば、Splunk Asset and Risk Intelligenceでの最新の検出結果に基づいてServiceNowのホスト資産記録を動的に更新し、資産インベントリを常に正確で最新の状態に保つことができます。また、高度な検出と調査によって資産情報を強化するだけでなく、ServiceNowで現在管理されていない未登録ホストを特定してCMDBに追加し、管理下に置くこともできます。

この2つの強力なプラットフォームをシームレスに連携させることで、資産管理の盲点を補い、ServiceNow CMDBによってコンプライアンス対策を強化し、検出したすべての資産を適切に管理できます。また、Splunk Asset and Risk Intelligenceに複数のServiceNowインスタンスを追加して、さまざまな環境のインポートセットテーブルにデータをプッシュすることもできます。

コンプライアンスフレームワーク

サイバーセキュリティフレームワークは、サイバーリスクの管理と軽減に関する標準化されたガイダンスを提供します。これらのフレームワークを導入すれば、規制への準拠、セキュリティ態勢の強化、効果的なインシデント対応に役立ちます。また、リスクを低減することで、事業継続性の確保にもつながります。

Splunk Asset and Risk Intelligenceでは、これらの基本的なフレームワークを直接利用できます。

NISTやHIPAAなど、主要なセキュリティフレームワークがあらかじめ組み込まれているため、すぐに使い始めることができます。フレームワークを一度組み込めば、フレームワークの基準に直接マッピングできるメトリクスが有効になり、組織のセキュリティ態勢とのギャップをプロアクティブに特定できます。また、専用のダッシュボードで規制への準拠状況を明確に可視化し、修復プロセスを追跡しながら、状況を継続的に改善することもできます。この包括的なアプローチにより、適切なインサイトとツールを活用して、堅牢なセキュリティ態勢を維持し、進化する脅威に先手を打つことができます。

Splunk Enterprise Security

未来志向のSOCを構築する際に中心となるのは、検出、調査、自動対応のワークフローを統合して、スピードと効率を向上させることです。Splunk Asset and Risk IntelligenceとSplunk Enterprise Securityをシームレスに連携させることで、未来志向のSOCをさらに強化できます。Splunk Asset and Risk Intelligenceでは、バッチ処理またはリアルタイムで、資産やIDのインベントリに最新情報を継続的に追加できます。この動的な統合により、重要イベントの情報として資産に関する包括的なコンテキストが提供されるため、セキュリティチームはより深いインサイトに基づいて調査を行えるようになります。

さらに、Splunk Asset and Risk IntelligenceによってSplunk Enterprise Securityに新たなスイムレーンが2つ追加されます。これらを使えば、インシデントレビューのワークフローを効率化してアセット調査とID調査を強化できます。また、Splunk Asset and Risk Intelligenceのリスクルールが有効になり、Splunk Enterprise Securityのリスクベースアラート(RBA)のリスク要因に反映されます。このように、統合を通じてSplunkエコシステムをさらに拡張できます。

まとめ：「ただのログ」ではなく大切なデータ！

今こそログに対する認識を変えるときです。ログはただの受動的な記録ではありません。組織の活動を動的に伝える、インサイトに富んだデータです。過去のコンテキストを保持し、今後の予測を可能にすることで、IT運用からセキュリティ、営業、マーケティングまで、あらゆる部門に計り知れない価値をもたらします。このデータの真の姿は、戦略的資産なのです。

それを証明するのがSplunk Asset and Risk Intelligenceです。Splunkは皆様のパートナーとして、このデータを活用し、リスク管理とコンプライアンスを強化するお手伝いをします。Splunk Asset and Risk IntelligenceとSplunk Enterprise Securityは、すぐに使えるカスタマイズ可能なダッシュボードを提供し、組織のセキュリティ態勢を明確に可視化し、インサイトをもたらします。これによって組織は脆弱性を特定し、コンプライアンスの不備を把握して、潜在的なリスクにプロアクティブに対処できます。また、Splunk Asset and Risk Intelligenceに組み込まれた規制コンプライアンスフレームワークを利用すれば、コンプライアンスの遵守状況をすばやく評価し、修正すべき重要な領域の優先順位を判断できます。

Splunk Asset and Risk Intelligenceは、データをアクションにつなげ、複雑化するデジタル社会で組織のデジタル環境の整合性を確保します。下のリンクから、自分のペースで学べるエンドユーザー向けの詳細なデモをご覧いただけます。ぜひご活用ください。

Splunk Asset and Risk Intelligenceの製品ツアー