ログで基盤を整える：Splunk Asset and Risk Intelligenceで脆弱性を漏れなく検出

Jerald Perry

Splunk Asset and Risk Intelligenceを使用すれば、脆弱性をプロアクティブに検出して対処し、組織のセキュリティ態勢を強化できます。主要なコンプライアンスフレームワークを取り入れ、カスタマイズ可能なダッシュボードとメトリクスを利用して、重要なセキュリティコントロールが適用されていない資産を明確に可視化できます。これにより、組織がどのような規制フレームワークに準拠する必要があっても、セキュリティコントロールの不備をプロアクティブに解消できます。ARIの包括的な資産インベントリとリスク評価機能を使えば、修復作業の優先順位を判断し、最も重大な脆弱性を真っ先に修正できます。このプロアクティブなアプローチによってセキュリティ態勢を強化し、侵害のリスクを軽減して、業界の規制に対するコンプライアンスを確保できます。リスクスコアのインサイトダッシュボードでは、すべての資産について動的なリスクスコアが提供されるため、現在のリスクの状態を明確に把握できます。

複合リスクスコアのインサイト

検出された脆弱性

Splunk Asset and Risk Intelligenceが提供するのは基本機能だけではありません。デジタル環境の隅々まで調べて、隠れた脆弱性を見つけ出します。たとえばARIのインサイトダッシュボードでは、IT環境内を詳しく調査し、OSやIoTデバイス、さらには見落とされがちなデフォルトアカウントに関する潜在的なリスクを明らかにすることができます。また、検出された脆弱性やソフトウェア、ユーザーIDなどをわかりやすくまとめたサマリーレポートを見ることもできます。ARIは、生データを提供するだけではなく、この情報から実用的なインサイトを引き出します。検出結果とともに、地理的な場所や時間の経過に伴う傾向が示されるため、脆弱性が集中している場所や脆弱性の状況の変化を確認できます。脆弱性については、専用のダッシュボードで詳しい調査を行い、全体のリスク状況に対する各脆弱性の影響度を判断することで、重大度の高いリスクを特定できます。ARIを使用すれば、ただの資産管理を超えて、プロアクティブなリスク緩和につなげることができます。これにより、セキュリティ対策の重点をどこに置くべきかについて、情報に基づく意思決定が可能になります。

リスクスコアのフィルターとルール

こちらまたは上の画像をクリックすると、Splunk Asset and Risk Intelligenceのガイド付きデモをご覧いただけます。

Splunk Asset and Risk Intelligenceのリスクルールは、資産のアクティビティを常時監視して潜在的な脅威を探り出すための、いわば秘密兵器です。動的なリスクフィルターで構成され、記録、ソフトウェア、脆弱性に基づいて、問題のある資産を正確に絞り込むことができます。この詳細な制御により、組織にとって特に重大な潜在的リスクに集中して対応できます。セキュリティアナリストやオブザーバビリティアナリストは、リスクルールを使用することで資産のリスクを包括的に把握し、潜在的なセキュリティインシデントをプロアクティブに特定して緩和できます。資産のさまざまな特性を1つのルールにまとめることで、資産調査ダッシュボードで現在のリスクの状況を明確に把握できます。これにより、情報に基づく意思決定が可能になり、デジタル資産を保護するための的確なアクションを取ることができます。

動的な資産リスクスコアリング

リスクルールによって生成されるリスクスコアを使用すれば、資産を調査する際にリスクの動的な性質を理解できます。資産のアクティビティの変化に対応した複合的なリスクスコアは、調査中にコンテキストとして役立てることができます。全体的なリスクレベルを類似する資産と比較し、複合リスクスコアが経時的にどのように変化したのかを確認することで、リスク管理を強化し、潜在的な脅威をプロアクティブに緩和できます。ARIのリスクスコアは、ARI内のデータに対して実行される資産リスクルールと連携しています。すべてのルールのスコアを合わせて、資産全体の「複合リスクスコア」が生成されます。複合リスクスコアは、資産に適用されるルールと、ルールが発動してからの時間によって、動的に増減します。

攻撃チェーンが進化し、複雑になるにつれて、重大なリスクの追跡が難しくなっています。脆弱性を追跡する能力と未然に緩和するための対策の強化は、今やミッションクリティカルと言えます。Splunk Asset and Risk Intelligenceは、リスクメトリクスとリスクスコアを提供して、リスクに常に先手を打てるように強力にサポートします。リスクスコアでは資産の健全性が考慮されるため、Splunk Enterprise Securityのリスクベースアラート(RBA)と統合して、SOCでの調査をさらに強化することもできます。資産をリスクスコア別に分類することで、新たな脆弱性が発見されたときに攻撃対象領域をすばやく可視化し、資産に対するサイバー攻撃の影響範囲をより正確に把握できます。

このシリーズの第4回では、ARIをSplunk Enterprise Securityや既存のCMDBと統合し、資産管理、リスク対応、コンプライアンス体制を強化する方法をご紹介します。このブログシリーズをまだお読みになったことがない場合は、第1回と第2回をぜひご覧ください。セキュリティ運用のアプローチの改善にARIがどのように役立つかをより深く理解できます。ARIのデモも併せてご覧ください。

こちらをクリックすると、リスクメトリクスのデモをご覧いただけます。

このブログはこちらの英語ブログの翻訳、山村悟史によるレビューです。

Jerald Perry

Jerald Perry is a seasoned technical marketing leader with an extensive background in systems integration, cloud architecture, and cyber security. Here at Splunk, he currently trains and enables resources for many products within the Splunk portfolio. Jerald has also performed public engagements at some of the largest tech conferences, such as Blackhat, RSA, and AWS RE: Invent. Jerald spends much of his time working cross-departmentally to help increase product adoption and improve demo effectiveness.

セキュリティ 15 分程度

Log4Shell - Log4jの脆弱性(CVE-2021-44228)を検出する(続報)

良いニュースです。Splunkを使用すれば、ネットワークトラフィックとDNSクエリーのログをデータソースとして、Log4Shellを悪用する攻撃を未然に検出できます。Splunk SURGeが発見した、CVE-2021-44228のさらなる検出方法をご紹介します。

セキュリティ 14 分程度

LLMのセキュリティ：LLMアプリケーションのOWASPトップ10とSplunk製品

LLMに対する脅威が現実のものとなっています。そこで、LLMに対する主な脅威と、Splunkを使ってLLMベースのアプリケーションとユーザーを効果的に保護する方法をご紹介します。

セキュリティ 6 分程度

安全な移行：IBM QRadarユーザーのための円滑な移行パス

セキュリティに関するすべての問題がSOCに集まり、そこでは専属のセキュリティ運用チームが組織のデジタル環境を隅々まで守るべく日夜奮闘しています。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら