Security Information and Event Management (セキュリティ情報/イベント管理)
セキュリティの変革には分析主導型の新たなアプローチが必要
古いSIEMは、今日の脅威についていくことが難しくなっています。Splunkの分析主導型セキュリティオペレーションツールは、リアルタイムの監視、高度な脅威検出、インシデント調査および管理など、迅速に対応します。分析主導型SIEMの導入により、複数部門でのセキュリティ体制をさらに強化します。
組織全体から収集したセキュリティデータとそれ以外のデータを使用して、インシデント対応と調査を強化します。
複数のソースから脅威インテリジェンスを収集して集約し、重複排除と優先順位付けを行うことでセキュリティ調査を強化し、セキュリティ運用を合理化することで効率を改善します。
最新のビッグデータプラットフォームを使用することで、SOC、セキュリティ運用、およびコンプライアンスに関するさまざまなセキュリティユースケースの拡張と解決が可能になります。また、このプラットフォームはオンプレミス、クラウド、ハイブリッドのいずれの環境にもデプロイできる柔軟性を備えています。
Splunkの分析主導型SIEM
Splunk Enterprise Security (ES)は分析主導型SIEMで、5つのフレームワークから構成されています。これらを単独で利用すると、コンプライアンス、アプリケーションセキュリティ、インシデント管理、高度な脅威検出、リアルタイム監視など、セキュリティに関するさまざまなユースケースに対応できます。
旧来のSIEMを最新のSIEMに置き換えるべき8つの大きな理由
多くの組織は、旧来のSIEMの時代遅れなアーキテクチャに縛られています。このようなアーキテクチャは通常、スキーマが固定されたSQLデータベースを使用します。このようなデータベースは、単一障害点となったり、拡張性やパフォーマンスが制約されたりするものです。
- セキュリティデータタイプが制限される
取り込まれるデータのタイプが制約されるため、検出、調査、応答時間に限界があります。 - データを効果的に取り込めない
旧来のSIEMでは、データの取り込みに多くの作業が必要となったり、非常にコストがかかったりします。 - 調査に時間がかかる
調査に時間がかかる旧来のSIEMでは、生ログのサーチなどの基本的なアクションに膨大な時間がかかり、完了まで何時間、何日もかかる場合もあります。 - 安定性と拡張性に欠ける
SQLベースのデータベースは、大規模になるほど安定性が低下します。顧客は多くの場合、パフォーマンスの低さか、イベントの急増によるサーバーダウンに起因する多数のシステム停止に悩まされます。
- サポート終了または不明瞭なロードマップ
旧来のSIEMベンダーの買収や合併が起こると、研究開発のペースが落ちることになります。投資と変革を続けなければ、セキュリティソリューションはますます進化する脅威の状況に後れをとることになります。 - 閉鎖的なエコシステム
旧来のSIEMベンダーは、他社ツールとの連携機能が欠けていることが多く、顧客はSIEMに搭載された機能を使用するか、カスタム開発とプロフェッショナルサービスにさらに費用を注ぎ込むことを強いられます。 - オンプレミスに限定される
旧来のSIEMは、多くの場合、オンプレミスへのデプロイに限定されます。しかしセキュリティ担当者は、クラウド環境、オンプレミス環境、ハイブリッド環境まですべてのワークロードを使用できなければなりません。 - 実用的なユースケースがない
ユースケースライブラリを利用すれば、既存の脅威や新しく発見された脅威を迅速に検出してインシデント対応を行うことができ、リスクが低減されます。
ガートナー社の2018年度セキュリティ情報/イベント管理(SIEM)のマジッククアドラントレポートのダウンロードはこちら
SIEM として導入する Splunk の分析主導型セキュリティプラットフォーム
