データ分析基盤を提供しているSplunkは、近年にセキュリティ調査部門「SURGe」を立ち上げ、独自のセキュリティ調査活動も手掛けている。セキュリティ用途でのユーザー導入事例は多いが、同社自身ではどのような取り組みをしているのか。セキュリティ専門官のShannon Davis氏に聞いた。
Splunk セキュリティ専門官のShannon Davis氏
Davis氏によると、SURGeは、2020年末に米国のITソフトウェアベンダーが標的となったサイバー攻撃を契機に創設された。セキュリティ専業ベンダーが事業活動の一貫としてセキュリティ動向の調査・分析を行う組織を持つケースは多いが、Davis氏は「われわれの活動目的はユーザーとサイバーセキュリティ業界やコミュニティーへの貢献になる」と述べる。
SURGeの活動の柱は、サイバーセキュリティの調査、インサイト、ラピッドレスポンスの3つになるという。調査では、個別の脅威などによる被害の軽減よりも予防に主眼を置いた分析情報を公開している。インサイトでは、セキュリティ業界の著名人へのインタビューや最新の知見などを動画やブログ、ポッドキャスト、ホワイトペーパーなどを通じて発信する。ラピッドレスポンスでは、多方面への影響が懸念されるなどの突発的に発生した脅威に関する最新情報を提供している。
調査活動では、例えば、10万個のファイルの暗号化に要する時間をランサムウェアファミリーごとに調べている。平均時間は42分52秒だったが、短いものは「LockBit」の5分50秒や「Babuk」の6分34秒、長いものは「Maze」の1時間54分33秒や「Mespinoza」の1時間54分54秒という結果で、「ランサムウェアファミリーの状況を明らかにすることで、被害の適切な予防につなげてほしいと考えている」(Davis氏)という。
ランサムウェアファミリーごとの10万ファイルの暗号化に要した時間の分析
このほかの例では、14万種類の「Chrome」ブラウザーの拡張機能についてセキュリティリスクを分析し、組織ユーザーが拡張機能を活用する際の参考情報を提供。また、スピアフィッシング(特定の相手を狙った詐欺)では、AIによる作成と人間による作成の違いを分析し、「AIでも人間と同程度のものを作成できることが確認されたが、AIだから恐れるということではなく、AIの作成でも人間による作成でもフィッシングに対する警戒が重要になる」(Davis氏)
インサイトでは、2023年に新たな脅威ハンティングのフレームワーク「PEAK(Prepare, Execute, and Act with Knowledge)」を公開した。これは、既存モデルの「Sqrrl」や「TaHiTI」を基に開発したといい、侵入する脅威や行動にフォーカスする仮説駆動型、「正常な動作」を基準とするベースライン型、機械学習などのモデルを用いるモデル支援型による脅威の把握、分析のアプローチ方法になるという。
脅威ハンティングのフレームワーク「PEAK」
ラピッドレスポンスでは、例えば、多くの組織が導入しているVPN製品の未知の脆弱(ぜいじゃく)性を悪用するサイバー攻撃の発生や、多くの組織で利用されているソフトウェアコンポーネントなどの脆弱性問題など多方面に影響するセキュリティ事案に関する情報をいち早く発信して、ユーザーや業界での対応を支援している。
Splunkならではのセキュリティ分析についてDavis氏は、「われわれ自身のビッグデータ分析環境を存分に使うことができる」と述べる。セキュリティ目的のSplunkの導入は、主にユーザー環境でのセキュリティ情報・イベント管理(SIEM)のツールが多い。同社自体がマルウェア防御といった直接的なセキュリティ機能を手掛けているわけではないが、ビッグデータの分析能力を生かしたユニークな取り組みとして注目される。