Splunk Enterprise Security：すべてのSOCアナリストを支援する製品

セキュリティアナリストは、あらゆる脅威から組織を保護する責任を果たすために、1日中最前線で働いています。当社の使命は一貫して、SOCのためにエンドツーエンドの可視性を提供することにあります。すなわち、SOCが最も重要な課題に集中し、コンテキストに基づく明確かつ迅速な対応であらゆる攻撃を解決できるよう支援することです。

Splunkは、セキュリティ運用ソリューションのリーダーとして業界で高い評価を得ています。SIEMのリーダーとしてよく知られ、ガートナー社による2024年SIEM部門のクリティカル・ケイパビリティレポートでも、SIEMの3つのユースケースすべてでSIEMのリーダーの1社として評価されています。しかし、AIによって攻撃のスピードと手口の巧妙さが飛躍的に高まっている状況では、こうした課題に対処できるよう進化しなければなりません。現在、そして未来の脅威を克服するため、防御を行う側があらゆる側面で優位に立つ必要性がこれまで以上に高まっています。当社のお客様は、すでに将来に向けた強固な基盤をお持ちです。今こそ、これを活用するときです。

こうした背景があるからこそ、私がSplunk .conf25で今日の午前中に発表したばかりの重大ニュースについてお知らせできるのを、ことのほか嬉しく思います。このイベントのステージでは、Splunk Enterprise Security (ES) 8.2の革新的なアップデートを紹介しました。今回のアップデートでは、AIを活用したSecOpsプラットフォームとして脅威の検出、調査、対応（TDIR）を一つのシームレスなエクスペリエンスに統合し、加速するようにデザインされています。

ES 8.2では、TDIRのワークフローが、セキュリティチームの実際の業務に沿うかたちの直感的なワークスペースに一元化されます。そのため、ツールの乱立、コンテキストの切り替えなど、アナリストの負担を解消できます。また、当社の高度なAIとエージェントがセキュリティチームの業務のあらゆる段階に組み込まれるため、ノイズを大幅に削減し、優先順位を付け、これまで何時間もかかっていた調査時間を数分に短縮することができます。

本日のイベント会場のあふれる熱気や、このソリューションを早期に導入したお客様が得た成果からも明らかなのは、私たちが大きな進展を遂げているということです。さらに多くのセキュリティチームの皆様にこれを実地でご覧いただけるのが楽しみです。

市場をリードする機能を単一のプラットフォームで実現

今回のリリースで、セキュリティ運用に必要なあらゆる機能がSplunk Enterprise Securityに統合されました。具体的には、SIEM、SOAR (セキュリティ・オーケストレーション・オートメーションおよびレスポンス)、脅威インテリジェンス、UEBA (ユーザーとエンティティの行動分析)、AIを活用したアシスタントやエージェントなどの機能が、実際の業務に合わせて最適化されたシームレスな統合インターフェイスとワークフローに集約されています。アナリストはもはや、いくつものコンソールを切り替えたり、コンテキストを探して時間を費やしたりする必要がありません。セキュリティライフサイクルのあらゆる作業を1カ所で行えます。脅威の検出、インシデントの調査、脅威ハンティング、対応の自動化、ケース管理など、すべてをES内で完結できるのです。

SOCにおけるAI新時代を開拓

今回のリリースで最も注目していただきたいことの1つは、このアップデートによって次に何が実現できるかです。SOCに関するすべての機能を1つのESワークスペースに統合することで、アナリストの業務を変革するAIドリブンのエージェントとアシスタント時代の到来に向けた基盤を用意しました。

私のチームはステージで、現在開発中の新機能を初めて紹介しました。具体的には、アラートに優先順位を付けて事前承認済みのレスポンスアクションを実行するエージェントや、カスタマイズされたSPLを生成し、SOARプレイブックを数分で構築し、検出サマリーを自然言語で作成するAIなど多岐にわたります。これらの革新的な機能は、手間のかかる反復作業をなくし、最も重要な問題を可視化し、アナリストがもっと付加価値の高い意思決定に集中できるようにしながら、常に人間が統制できるように設計されています。

SplunkはES 8.2におけるワークフローの統合を通じて、こうしたAIドリブンのアシスタントとエージェントが当社の統合TDIRプラットフォーム内でSOCのあらゆる役割をシームレスに運用するための基盤を整えています。これにより、お客様はすでに達成している成果を足がかりに、将来に向けてさらに大きな成果を実現できるようになります。

達成済みの成果

当社のAIドリブンな統合アプローチは、IDC社の新たな独立調査レポート『The Business Value of Splunk Security: A Unified TDIR Platform』で紹介されているように、すでに重要な成果をお客様にお届けしています。CISOとそのチームは、過去と比べて以下のような大きな改善を実現しています。

• 脅威の検出時間を64%短縮
• インシデントの解決時間を55%短縮
• 誤検知率を46%削減
• 同等のセキュリティソリューションと比べてコストを38%削減

これらの成果を見ると、柔軟で統合されたTDIRワークフロー、効率的な自動化、あらゆる場所に組み込まれた堅牢なAI、高忠実度の可視性、および豊富なコンテキストによって何が実現できるかが分かります。さらに、その結果としてアナリストは、迅速かつ正確に業務を遂行できるようになります。Splunk Enterprise Securityの最新機能を利用することで、セキュリティチームはAIを活用したSOCによって、スピードとレジリエンスをさらに向上できるでしょう。

現状に対応しながら未来に向けて準備

Splunk Enterprise Securityの今回のリリースでは、EssentialsとPremierの2つのエディションを用意しました。お客様のSOCにおける固有の要件や優先事項に適した機能とワークフローを考慮して選択できます。当社は、お客様の現在の状況に対応するだけでなく、お客様が独自のセキュリティジャーニーを歩んでいけるようサポートします。どちらのエディションも、信頼性の高いES基盤、統合インターフェイス、およびシームレスなワークフローで、一貫した直感的なエクスペリエンスをすべてのアナリストに提供します。Essentialsは、組み込み済みのAIアシスタントと統合されたTDIRワークフローを通じて、業界トップクラスのSIEMエクスペリエンスを実現します。つまり、これ自体が強力なソリューションであると同時に、将来のSOCのモダナイゼーションを支える強固な基盤となるのです。

Premierはさらに進んで、ネイティブなUEBAやSOC全体の堅牢な自動化といった先進機能の統合を通じて、高度な脅威や異常な動作を自動で検出し、セキュリティチームによる検知と対応のスピードと効率を向上させます。

お客様のSOCが現在どのような態勢であっても、導入初日から測定可能な成果をもたらすために設計されたESエディションを選択し、柔軟性の高い包括的なエンドツーエンドのツールセットを利用して、ニーズの変化に対処することができます。当社はさらに、継続的なイノベーションと大規模な投資を通じてソリューションを進化させ、お客様の優先事項や脅威の絶え間ない変化に対応することに注力していきます。

Splunk Enterprise Security 8.2の新機能

お客様からすでに信頼を得ているESの基盤を、強力な新機能で拡張しました。すべては、アナリストが邪魔されることなく結果に集中できるようにするためです。

• AI Assistant for Security (ES EssentialsとES Premierの両方に搭載)：アナリストは、ESワークフローに直接埋め込まれたAI Assistantを利用して、SPLサーチを自然言語で生成し、検出結果を要約し、調査レポートを生成し、次のステップを提案できます。その結果、アナリストは統制を維持しつつ、定常業務を迅速化できるようになります。
• 包括的なSOAR (現在、ES Premierに搭載)：組み込み済みの自動化とランブックの作成・編集機能を、SOCのすべてのアナリストが利用できます。定員による制限はありません。プレイブックを標準化し、トリアージを迅速化し、チーム全体にわたり一貫性を高めることができます。
• ネイティブUEBA (現在、ES Premierに搭載)：検出、調査、対応のワークフローに直接統合された行動ベースの分析によって、内部脅威、侵害されたアカウント、ラテラルムーブメントを検出します。
• Detection Studio (一部でアルファ版)：検出エンジニアが、高忠実度のルールをより迅速に設計してデプロイできるようになります。MITRE ATT&CKに対応するカバレッジとツールが提供され、検出ギャップをなくすために役立ちます。また、堅牢なテスト機能など追加の機能のサポートもまもなく開始する予定です。

ES 7.x以前を運用しているお客様は、アップグレードすることによって、パフォーマンス、可視性、ワークフロー効率の大幅な向上を実感できるうえ、上述の最新機能をすぐに活用いただけます。

#splunkconf25のハッシュタグが付いた投稿をぜひご確認ください。

@splunkをフォロー

このブログはこちらの英語ブログの翻訳、藤盛 秀憲によるレビューです。