導入事例

米国省庁規模の政府機関、Splunkのプラットフォームで コストを削減し、セキュリティ対策を強化

概要

国民が政府機関に求めることは、税金を賢明に使うだけではなく、回復力 のある運用を実現してサービスを効果的に提供できるようにあらゆる努力を払うことです。米国省庁規模のある大規模政府機関では、以前はHP ArcSightを使用していましたが、このSIEM(セキュリティ情報イベント管理) ツールはスピードが遅く、コストもかかり、ニーズに対応できていませんで した。セキュリティとコンプライアンスを確保するためにSplunk Enterprise に切り替えてからは、いくつものメリットを実感しています。

 

  • ソフトウェアメンテナンスコストを年間900,000ドル削減
  • セキュリティの検出、対応、修復を強化
  • セキュリティの調査時間を数時間から数分に短縮
課題
    • 検索と調査に時間がかかるソフトウェアメンテナンス費用が高額であるレガシーソフトウェアを使いこなせる人材が少ない
ビジネスへの影響
    • レガシーソフトウェアのメンテナンスコストを年間 900,000ドル削減セキュリティ対策をプロアクティブに行い、インシデ ントにも迅速に対応セキュリティの調査時間を数時間から数分に短縮無駄なコスト、不正行為、悪用を削減セキュリティアナリストの生産性が向上
データソース
    • ファイアウォール
    • Webプロキシ
    • VPN
    • 電子メール
    • 侵入検知システム
    • ワークステーションとサーバーのホストデータ
    • マルウェアスキャナー
    • CMDB(構成管理データベース)
    • DNS(Domain Name System)

Splunkが選ばれた理由

もとはSplunkのPremierパートナーであるQmulos社でコンサルタントを務めていたJonathan Margulies氏が率いるSplunkアーキテクトと開発者のチームは、現在、ある米国政府機関の大規模なSplunk導入環境を管理しています。この機関には約40の部局があり、ホスト数は200,000台、ユーザー数は130,000人に及びます。Margulies氏がチームに参加する前、この政府機関のSOC(セキュリティオペレーションセンター )では、主要 SIEMとしてHP ArcSightを使用していました。Qmulos社のSplunkアーキテクト兼省庁コンサルタントのMargulies氏は次のように述べています。「ArcSightは低速で、開発が難しく、使いこなせるエキスパートを見つけるのにも苦労していました。とても高価でしたし、普通の調査に何時間もかかっていたのです」

また、ログの監査に関しては、セキュリティコンプライアンスを確実に実行できていませんでした。Margulies氏によると、ログをまったく見ないシステム責任者がいた一方で、この機関が所定の規約に従っていることを監査人に証明するためだけに、ほぼ不要な情報ばかりのログを週に何時間もかけて見ていたシステム責任者もいたといいます。この機関はまず、 Splunk Enterpriseに小規模な投資を行うことで、もともとあった能力を補い、コンプライアンスを改善しました。

Margulies氏は次のように述べています。「最終的にSOCはSplunkを選びました。そしてトレーニングの必要なくすぐに使い始めて、さまざまな情報のサーチを開始できました。ArcSightよりも短時間で優れた結果が返されたのです」

”Splunkを導入することで、この機関の今年のメンテナンスコストを900,000ドル削減できました。おかげでチーム全体が報われました”



Qmulos社Splunkアーキテクト兼コンサルタント、Jonathan Margulies氏

プロアクティブなセキュリティアプローチ

Margulies氏はチームとともに、この機関のSOCをサポートしています。こ のSOCには、Splunk Enterpriseを使用してセキュリティインシデントを調 査する40人のアナリストに加え、トラブルシューティングとレポート作成に ソフトウェアを利用する大規模なITチームが在籍していま す。その他のユーザーとして、この機関のセキュリティ規 制のコンプライアンスを担当するスタッフがいます。

Splunk Enterpriseを使用することで、よりプロアクティブ なセキュリティアプローチを取れるようになったと、 Margulies氏は説明します。以前は、あるツールからアラー トを受信した後に、チームのメンバーがセキュリティイン シデントへの対応と修復を行っていました。現在スタッフ は、調査する時間が十分にあり、直感的なサーチが役に 立っていると感じています。というのも、作業を迅速に実 行できるうえに重要なインサイトを得られるためです。た とえばSplunk Enterpriseは、無駄使い、不正行為、悪 用のインシデント(ユーザーが帯域幅を費やすべきでない Webサイトにアクセスしているケースなど)を特定して削 減するのにも役立っています。

また、この機関がSplunk Enterpriseを使用して得られた 大きなメリットとして、フィッシングメール攻撃を速やかに 検出し、対応、修復できるようになったことが挙げられま す。たとえばSplunk Enterpriseのカスタムメールダッシュ ボードでは、どのメールが標的に届いたか追跡すること ができるため、調査時間を大幅に短縮できます。以前は こうした調査に一晩かけたこともありましたが、現在では 必要な情報を数分で得られます。

セキュリティコンプライアンスの達成

Splunk Enterpriseの 導 入 後、この 機 関で は ログに 関するコンプライアンスを改善することができたと、 Margulies氏は述べています。Webプロキシ、VPN、ワー クステーションやサーバーのホストデータ、マルウェアス キャナー、メール、DNS(Domain Name System)、ファ イアウォール、侵入検知システムなどのRawログが Splunk Enterpriseに保持されているため、監査人の要 求に応え、要件を満たすことができます。もう1つの具体 的な成果として、スタッフの生産性が大幅に向上したこ とが挙げられます。ログの調査に週4 ~ 6時間費やす代 わりに、週に1度ダッシュボードをロードして、異常がな いか目を通すだけで済むようになりました。

拡張性、使いやすさ、コスト効率を備えたプラットフォーム

Splunk Enterpriseを使用して、SOCがユーザーログデータの監視とアラート生成を行うための画面を1カ所に簡単にまとめることができました。これによってこの機関全体の可視性が向上し、セキュリティが強化されました。また、このセキュリティプラットフォームでログのRawデータを保管して活用できるため、コンプライアンス、法務、セキュリティへの対応も容易です。ドキュメントが完備されているプログラミングプラットフォームによって柔軟性が得られたことも、この機関の満足につながりました。Splunk EnterpriseについてMargulies氏のチームは、拡張性、カスタマイズ性、使いやすい可視化機能、コスト削減効果についても高く評価しています。Margulies氏は次のように述べています。「Splunkを導入することで、この機関の今年のメンテナンスコストを900,000ドル削減できました。おかげでチーム全体が報われました」

"最終的にSOCはSplunkを選びました。そして、トレーニングの必要なくすぐに使い始めて、さまざまな情報の調査を開始できました。ArcSightよりも短時間で優れた結果が返されたのです"



Qmulos社Splunkアーキテクト兼コンサルタント、Jonathan Margulies氏