ケーススタディ

Splunk Enterprise Security SIEM を使用した 製造企業の自動化

エグゼクティブサマリー

アメリカに本社を置くあるグローバルコントラクト製造企業は、世界各国で事業を⾏っていま すが、その中にはサイバーセキュリティ関連の問題が多発している国もあります。そのため同 社は、⼩規模のサイバーセキュリティチームで顧客の知的財産権を保護し効率よく運⽤で きるようなセキュリティ情報イベント管理(SIEM)ソリューションを必要としていました。 Splunk Enterprise Security(ES)を SIEM として採⽤してからは、次のような利点 が得られるようになりました。

  • インサイダーおよび外部の脅威に対する予防
  • 顧客の重要なデータの保護
  • セキュリティインシデントトラッキングの⾃動化により、⼩規模のセキュリティチームを最⼤限 に活⽤可能になる
Splunk ユースケース
課題
    • 重要な顧客データを保護することが必要
    • すべてのデータについて完全な視認性を与え るために SIEM が必要
    • ⼀⽣懸命働くスタッフを最⼤限利⽤できるよ う⾃動化が必要
ビジネスへの影響
    • お客様の知的財産を保護
    • ⾃動化により、スタッフチームが異なるスキル セットを持つことが可能
    • インシデントの調査および管理のための単⼀ ガラスビューを提供
    • スケーラブルなソリューションにより、データ量の 増⼤に対応
データソース
    • ネットワークログ
    • Microsoft Windows SEP ログ
    • Digital Guardian Data Loss Prevention(DLP)ログ
    • Linux ログ
    • Macintosh ログ

なぜ Splunk なのか?

かつて、製造企業でのセキュリティの懸念は、主にウイルスや組織外部からのセキュリティ攻 撃に集中していました。しかし時間が経つにつれて企業にとってのセキュリティの必要性は増 ⼤し、不正なアクターの動機を識別し判定するだけでなく、インサイダーの脅威と外部の脅 威の両⽅に対処しなければならなくなっています。⼀⽅で、企業のデータはサイロに置かれ ているため、セキュリティチームは、そのセキュリティ姿勢に対する視認性を⽋いています。さ らに、悪意のあるコードや不正なアクターが業務に脅威を与えているだけでなく、企業は急 速な変化や、顧客内での急速なデプロイメントにも対応しなければなりません。企業が扱 う知的財産の量が増えるほど、その知的財産を盗もうとする試みも増加します。

現在、この企業は、Splunk ES データ分析セキュリティプラットフォームを装備したセキュリ ティオペレーションセンター(SOC)を持っています。セキュリティチームはこのプラットフォーム を使⽤することにより、脅威や潜在的な脅威を素早く識別できるようになっています。同組 織のセキュリティチームは⼩規模ですが、現在 Splunk ES を使⽤し、信頼できる SIEM ソ リューションを利⽤することによって、同社の製品を社外秘の状態のまま市場に届けられる ようになっています。同社のセキュリティチームは、スキルや知識の点でさまざまですが、その 技術セキュリティによって侵害の指標(IOC)を検出することができるため、ティア 1 アナリ ストがこれを使⽤してインシデントを格付けできるようになります。これにより、ティア 1 アナリ ストが迅速に参加できる上、ティア 2 およびティア 3 アナリストが対応策や脅威ハンティング に集中できるようになるため、チーム全体の対応速度が向上します。

チームは、Splunk Enterprise および Splunk ES を使⽤すること により、ログをドリルダウンして、詳細なデータ調査や、その他のコリレ ーション、調査、解析などを⾏うことができます。現在 Splunk ES で は、Microsoft Windows SEP ログ、ネットワークログ、Digital Guardian Data Loss Prevention(DLP)ログ、Linux ログ、 Macintosh ログなど、広範囲のデータソースを消化することができま す。チームは現在、Windows Dynamic Host Configuration Protocol(DHCP)ログおよびスイッチなどのソースからのログを取り 込めるよう鋭意努⼒しています。セキュリティチームは今後、他のデー タソースもさらに追加できるよう計画を⽴てています。リーダーシップチ ームは、Splunk ES でデータを多く消化できるようになれば、さらに 効果的なコリレーションとより⾼速な調査が実現すると考えています。 同社は現在、内部の不正なアクターを特定し何が正常で何が異常 か判定できるようにするための動作分析シナリオについて研究してい るところです。

単一ガラスビュー

今⽇、Splunk ES は、インシデントの調査および管理を 1 箇所から 実⾏するための同社の単⼀ガラスビューになっています。これまでに同 社は、プロセスの⼀部を⾃動化することができました。たとえば、 Splunk ES を使⽤することで、セキュリティチームが、他のチームがア クションを実⾏するためのチケットを始動できるようになっており、今後 さらに⾃動化を進めたいと考えています。同社は⼤規模なセキュリテ ィチームを持っていないため、⾃動化が鍵になります。⾃動化をさらに 進め体系的な制御に組み込むことができればできるほど、顧客にそ の成功を⽰すことができます。アラートが表⽰されるようなインシデント や問題が再発すれば、セキュリティチームは⾃動化を試みることにな ります。

これまでチームは、IT インフラストラクチャのモニタリングとサイバーセキュリ ティで Splunk ES を使⽤することに集中してきましたが、同社はさらに 進んで、Splunk の使⽤を製造ラインやその他の領域にまで拡⼤しよう と考えています。現段階では、事実に基づいた分析を⾏えることが重要 になっています。Splunk ES を使⽤すれば、視覚化を利⽤することで問 題を識別できるようになりますが、この視覚化が実現すれば、セキュリテ ィチームは、保護する対象の規模を理解しやすくなります。優秀なスタッ フを採⽤し確保することが、セキュリティチームが現在直⾯するもっとも困 難な問題になっています。そのため、Splunk ES により、⾃動化、通信、 記録済みのベストプラクティスなどを実⾏することで、同社がセキュリティリ ソースを最適化できるようになるという事実が、そのセキュリティ姿勢を維 持する上できわめて重要になります。

データ分析セキュリティプラットフォーム

この企業では、Splunk ES を実装する前は、セキュリティの全体像に対 する視認性が制約されており、何が正常で何が異常かは⼀定範囲でし か確認することができませんでした。現在では、Splunk ES のアラート、 視覚化、ダッシュボードなどを使⽤することで、それがどの程度安全で、ど の程度の脆弱性が存在するかはっきりと理解できるようになっています。 相互に関連していない異なるシステムを調べるという従来の⽅法から卒 業し、今や Splunk ES が同社のデータ分析セキュリティプラットフォーム になっています。これによって、セキュリティチームは⼤きなイメージを参照 できるようになり、しかもその知識を同社の CIO や部署の CIO と共有で きるようになっています。

「Splunk ES は、インシデントの調査に加え管理についても、 1 箇所から実行できるような単一ガラスビューになっていま す。」



ある製造企業、CISO