SIEMのできることが広がる--Splunk、セキュリティ製品やシスコとの方向性を紹介
Splunk Services Japanは、セキュリティ製品に関する説明会を開催した。セキュリティ情報イベント管理(SIEM)製品の最新版「Splunk Enterprise Security 8.0」や、同社を買収したCisco Systemsとの方向性などを紹介した。 データ分析基盤としてのSplunkは、多彩な用途に対応しているが、特にSIEMは初期から国内外で代表的な利用目的の1つとなっている。説明を行ったセキュリティ・ストラテジストの矢崎誠二氏は、ランサムウェアをはじめとするセキュリティインシデントでは迅速な対応が必須であること、企業が導入している多数のセキュリティソリューションを適切に機能させる上ではSIEMがそれらのデータを集約して対応時の中核となるとの意義を強調した。 Splunk Enterprise Security 8.0は、6月のグローバルカンファレンスの発表後に、国内では10月にまずクラウド版がリリースされ、オンプレミス版についても近く提供を開始するとのこと。最新版では、複雑なサイバー攻撃などの脅威の検知から分析、対応、封じ込め、復旧に至るまでの一連のオペレーションを最適化し、全体に要する期間を短縮することや担当者の作業効率化、負荷の軽減に主眼を置いた機能強化を図っているという。 まず検索性では、ダッシュボード上の検索からキーワードにより必要な情報を得るまでの応答性や精度を高めており、「Ingest Processor」という機能でセキュリティ分析などに必要なデータを集約してデータ管理の柔軟性を向上させている。 分析においては、約1700種類の機能を用いて検知した脅威の分析、可視化による把握、修復までのフローを短い時間で実行できるよう支援する。関連するデータやイベントの集約、コンテキストの理解や担当者への洞察の提示、リスクスコアによるトリアージの効率化を実現した。 さらに、ユーザーインターフェースのさらなる改良によって、担当者はダッシュボードから必要な情報を容易に把握したり、分析をはじめとする各種機能を迅速に実行したりできるようにしているとのこと。また、Splunk Enterprise Securityと連動する脅威分析ツールの「Splunk Attack Analyzer」も提供しており、セキュリティ担当者はこれらの最新機能を活用してセキュリティオペレーションのさらなる効率化や作業などの自動化につなげることができるとしている。 Splunkは2024年3月にCiscoの傘下となった。CiscoがSplunkを買収した目的は、AIとセキュリティ、クラウド、ネットワークの各領域におけるデータの活用、安全性の強化、オブザーバビリティ(可観測性)などのソリューションの強化とされ、セキュリティについてはSIEMやセキュリティ運用自動化(SOAR)、脅威インテリジェンス(Cisco Talos)などの統合によるセキュリティ運用や脅威対応の強化を掲げている。 矢崎氏は、Ciscoのセキュリティソリューションとの統合においてもが中心的な役割を担っていくだろうと述べる。SIEMがカバーする領域としてもCiscoのネットワークや同社は近年注力する拡張型脅威検知&対応(XDR)が加わることで、より広範なIT領域のセキュリティ脅威の検知や可視化、対応が可能になるとする。 同氏は、将来に向けてSplunk Enterprise SecurityやCiscoのセキュリティソリューションがセキュリティオペレーションセンター(SOC)をより強力なものとし、企業や組織における脅威への対応と防御の向上に貢献していくと説明。また、日本市場に対する投資も継続し、Ciscoとの共同ソリューションの展開や、「政府情報システムのためのセキュリティ評価制度」(ISMAP)への対応、日本語によるテクニカルサポートやAI機能の提供、マルチクラウド対応、国内パートナーとの連携ソリューションを拡充しているとした。
