セガサミーホールディングス(セガサミーHD)は、グループ全体のIT環境における総合的なセキュリティ情報イベント管理(SIEM)基盤として「Splunk Enterprise」「Splunk Enterprise Security」を採用した。Splunk Services Japanが発表した。
セガサミーHDは、ゲームや玩具、映像、リゾートなど総合エンターテインメントビジネスを手掛け、ITでは90以上のグループ関係会社を含む全体のITインフラの運用管理やガバナンス強化、セキュリティ対策の強化および高度化に取り組んでいる。
これまでは、日常的に各機器やシステムのログを収集、活用した調査を行っていたものの、機器内に蓄積されているログが分散しており、統合的にログを集約する環境の整備が課題だった。セキュリティインシデント発生時を含む能動的なセキュリティ対策を推進するためにも、集約したログを迅速に分析できるSIEMの導入を検討していたという。
SIEMの基盤は、同社グループの幅広い事業領域に対応できる拡張性の高さを要件とし、データ分析や監視基盤で導入実績の多いSplunk EnterpriseとSplunk Enterprise Securityを選定した。総合的なログ分析プラットフォームとして、サイバー攻撃などの外部脅威から内部不正対策も含めて幅広く活用できるとする
同社では、1日当たり150GBに上るというグループ全体の1200台以上のネットワーク機器と800以上のサーバーおよび1万3000台以上のエンドポイント(EDRも配備)からの各種ログデータを集約。社内外の調査依頼やインシデント発生時に迅速な対応ができるようになった。
新しいSIEM基盤では、これまでシステムごとに点在していた広範囲で多種多様な形式のログも統合的に集約でき、成型前のデータであっても、ある程度自動でカテゴライズされるなど作業負担が軽減したという。また、ホスト名やIPアドレス、アクセス時間などの各種条件でログデータを自動的に分類、相関付けを行えるようになり、分析や調査の時間も短縮したとしている。
SIEM基盤についてセガサミーHD ITソリューション本部 プラットフォーム部は、「従来はインシデントをトリガーに動くことが中心だったが、内部不正対策の検討も含めて、今は能動的にセキュリティを考えていくことをテーマに活動している。Splunkの採用では、多種多様なログ収集のしやすさ、調査したい情報へのたどり着きやすさが大いに役立っている。グローバルな環境で統合的にログを集約して分析できる基盤はSplunkが唯一の選択肢だった」とコメントしている。
