Splunkは米国時間7月17~20日、年次カンファレンス「Splunk .conf23」を米国・ラスベガスで開催している。速報値では、世界から5000人以上が来場し、オンライン配信でも5000人以上が視聴している。2日目の基調講演では、「Let's Build Digital Resilience」をテーマにプロダクト&テクノロジーの領域でシニアバイスプレジデント兼ゼネラルマネージャーを務めるTom Casey氏や、最高技術責任者(CTO)のMin Wang氏が登壇し、同社製品の最新機能について語った。
Splunk プロダクト&テクノロジー シニアバイスプレジデント兼ゼネラルマネージャーのTom Casey氏
組織の競争力を維持するためには、セキュリティ上の脅威や顧客に影響が及ぶ障害など、いかなるインシデントにも迅速に対応することが重要となる。デジタルシステムのレジリエンスを確保するには、セキュリティ領域とオブザーバビリティ領域のプロセスやテクノロジーを統合する必要がある。
その一方で、Casey氏によると、IT運用チームの81%はより複雑な環境への対応に直面しており、セキュリティチームの64%は散在するツール間の行き来に苦慮している。
今回の機能強化は、Splunkの製品ポートフォリオ全体で行われており、統一されたエクスペリエンスとワークフローによって、セキュリティ、IT運用、開発の各チームが大規模な環境でも脅威を素早く正確に検出、調査、対応できるよう支援する。
また、Splunkのセキュリティとオブザーバビリティの統合プラットフォームにAI機能を組み合わせることで、ハイブリッド環境を優れたレベルで可視化し、コストを最適化するだけでなく、検出、調査、対応にかかる時間を短縮し、デジタルトランスフォーメーション(DX)を加速させるとしている。
AI機能についてはWang氏が登壇し、初日の基調講演でも触れられた「Splunk AI」について説明した。
Splunk 最高技術責任者(CTO)のMin Wang氏
同氏によると、Splunk AIは、自動化とHuman in the Loop(HITL、人間参加型)のアプローチを融合したもので、企業はAIのデータ活用をコントロールしながら、脅威に対する検出、調査、対応を加速させるとともに、データマイニング、アノマリー検出、重要な判断の優先順位付けを自動化し、冗長なプロセスや人的ミスを最小限に抑え、セキュリティ、IT運用、開発チームの業務効率を向上させるという。
セキュリティデータとオブザーバビリティデータを基に構築されたドメイン固有の大規模言語モデル(LLM)と機械学習アルゴリズムが最適化され、各チームはより戦略的な業務に集中でき、生産性の向上とコストの低減につなげられる。
Wang氏によると、SplunkプラットフォームへのAI統合においてもオープン性と拡張性を重視しており、今後、Splunk AIモデルを拡張したり、内製ツールや外部ツールで利用したりすることも可能になるとしている。
基調講演では、「Splunk AI Assistant」のプレビュー版が発表された。これは、生成AIを活用したチャットを通じて、自然言語によるSPL(Splunk Processing Language)の記述を支援するもの。AIチャットボットに文章または口頭でやりたいことを指示すると、対応するSPLクエリーが生成され、SPLをより手軽に利用できるようにすることで、データアクセスとデータインサイトの民主化を促進し、価値実現を加速させる。
Splunk AI Assistant
今日のセキュリティ運用チームにとって、大量のアラート、手作業によるプロセス、サイロ化されたツール、複雑な攻撃の理解に必要なコンテキストの欠如は悩みの種となっている。Splunkのセキュリティ製品は、脅威の検出、調査、対応をカバーする統合ソリューションとして、セキュリティワークフローを効率化し、過剰なアラートを削減する。
この統合ソリューションに「Splunk Attack Analyzer」(旧称Twinwave)が新たに加わった。これにより、マルウェアや認証情報フィッシング攻撃の分析を自動化し、攻撃に使用される複雑な検出回避技法を解明する新しいアプローチが実現する。また、「Splunk SOAR」と統合することでフォレンジックを自動化し、脅威を高い精度でタイムリーに検出して、手作業による調査にかかっていた時間とリソースを節約することができる。
Splunk Attack Analyzer
「Splunk Observability Cloud」と「Splunk Cloud Platform」の統合を進める新たな機能としては「Unified Identity」が紹介された。同機能を使用することで、IT運用担当者や開発担当者は、Splunk Cloud PlatformのデータとSplunk Observability Cloudのデータに一つのユーザーIDでシームレスにアクセスできるようになる。
Splunk Cloud Platformへのログインが容易になり、ログデータに素早くアクセスし、トラブルシューティングを効率化できる。IT運用担当者と開発担当者が同じ画面を見ながら状況を把握することにより、チーム間で迅速に連携し、問題の早期検出と対応につなげられるとのこと。
また、「OpenTelemetry Collectorテクニカルアドオン(TA)」のプレビュー提供なども明らかにされた。
OpenTelemetryの強化ポイント
続いて、レジリエンスを実現するには、エッジからクラウドまで環境全体を包括的に可視化することが不可欠であるとし、Splunk Cloud Platformと「Splunk Enterprise 9.1」に対する機能強化が紹介された。
まずは、SPL2に対応した「Edge Processor」が2023年に入って既にリリースされており、エッジでデータをフィルタリング、マスキング、ルーティングするためのデータ前処理ツールになる。HTTPイベントコレクター(HEC)を使用したSplunkへのデータの取り込みとエクスポートが可能になり、データの管理が容易になるという。
加えて、「Federated Search for Amazon S3」の一般提供が次の四半期をめどに開始されるとのこと。これにより、「Amazon S3」に保存されているデータをSplunkに取り込むことなく、Splunkインスタンスやサードパーティーのデータレイクとともに統合的に検索できるようになる。
Federated Search for Amazon S3
「Splunk App for Anomaly Detection」の一般提供も明らかにされた。これは、数回のクリックで環境内のアノマリー検知を実行・自動化し、セキュリティ、IT運用、開発チームのエンドツーエンドの運用ワークフローを効率化する。
Splunk App for Anomaly Detection
(取材協力:Splunk Services Japan)
