UNLV：SOCへの学生参加とSplunkで成功を収める

SIEMで築くサイバーセキュリティの拠点

2022年に開始されたUNLVのSOCプログラムでは、サイバーセキュリティを学ぶ学生に、アラートへの対応、チケットの相関付け、インシデントの優先順位付け、重大なセキュリティ脆弱性の解決といったSOC業務を実地で体験してもらい、セキュリティ人材に不可欠なスキルを育成しています。そして、その努力は実を結びつつあります。「Splunkのダッシュボードやアラート機能を利用することで、脆弱性管理プログラムの可視性が大幅に向上しました」とGriffin氏は評価します。「2024年5月以降、学生たちは600件以上の脆弱性を修正しており、そのうち約100件が重大な脆弱性でした」。こうして、学生のスキルが高まるとともに、キャンパスのセキュリティも向上しています。

「当初は、複数のプラットフォームへのログインから、データやスキャン結果の検証、チケットの作成まで、すべてのプロセスを手動で行い、重複やエラーがないことをただ祈るだけでした」とGriffin氏は説明します。現在では、Splunk Enterprise Securityを活用して、各種の運用ユースケースに応じたデータを取り込み、相関付けしています。ネットワーク内で不審なアクティビティが検出されると重要イベントが生成されるので、そこから詳細調査を開始します。Griffin氏とそのチームは現在、Splunkを使って複数のソースからデータを取り込み、相関付け、ワークフローアクションによってチケットシステムに接続することで、このプロセスを自動化することに取り組んでいます。「脆弱性の修正にかかる時間は以前に比べて半減しました。プロセスを完全に自動化すれば10分の1まで短縮できると見込んでいます」とGriffin氏は期待を寄せます。

アダプティブレスポンスなどの組み込みの機能も大きな効果を発揮しました。学生アナリストは、この機能を活用してドリルダウン検索を行うことで、より詳細な調査が可能になりました。さらに、事前設定されたオプションや、外部サイトへのアクセス機能も、プロセスの効率化に役立っています。

「Splunk Enterprise Securityのおかげで可視性が大幅に向上しました」とGriffin氏は言います。「以前は環境内で問題が起きていることを把握するのがやっとでしたが、今では環境全体を可視化して、問題の発生と同時に対処できるようになりました。ついに、リアルタイムの検出を実現したのです」

「Splunk Enterprise Securityは、大学のセキュリティ態勢の向上だけでなく、実践的教育の強化にも役立っています」と、UNLVの最高情報セキュリティ責任者(CISO)であるVito Rocco氏は評価します。「学生にSOCで実際の業務を経験してもらうことで、卒業後の視野と機会を広げることができます」

UNLVの最高情報責任者(CIO)であり、Rocco氏と協力して州からの助成金や承認の獲得に尽力しているKivanc Oner氏もこれに同意し、次のように付け加えます。「このプログラムは、学生に最先端のスキルを身に付けてもらうだけでなく、ネバダ州全体のサイバーセキュリティを強化することにもつながります。次世代のサイバーセキュリティリーダーを育成することで、州のデジタル環境の未来を有能な人材に託すことができます。Splunkはこのミッションにおいて重要なパートナーであり、教育と実践の橋渡しに貢献してくれています」

学生たちはもちろん、このプログラムに熱心に取り組んでおり、SOCでの実践経験は1年間で最大1,000時間にも達します。それを思えば、このプログラムに参加した学生の就職率が100%であるのも驚くことではありません。Griffin氏によると、学生のほとんどが卒業後も大手小売企業や米軍などでサイバーセキュリティ関連の職に就き、全員が卒業前にSplunk Core Certified Power User認定を取得しています。「このプログラムに参加する学生たちの意欲と、Splunkを活用し、この優れたツールについて理解したいという強い思いが、こうしたすばらしい成果につながっているのです」と同氏は称賛します。