90%の時間を自動化! Splunkが2020年ビジョンで提案する自律型セキュリティオペレーション

ZDNet Japan Ad Special 2019年08月26日 11時00分

  • このエントリーをはてなブックマークに追加

[PR]6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏が登壇。

 6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏が登壇。「Splunk Security 2020: 90%の時間を自動化する自律型セキュリティオペレーションとは?」と題し、可視化から検知、分析、対応までのセキュリティオペレーションを劇的に効率化する手法を解説した。

データとセキュリティを巡る5つのトレンド

 サイバーリスク対策は、「防御」から「検知と分析」への移行が進み、大きなうねりになりつつある。「防御」でフォーカスしていたのが、さまざまな脅威の社内への侵入をいかに防ぐかであったのに対し、「検知と分析」では侵入を許してしまっても、それをすばやく見つけ対策を打つことで脅威を最小限にとどめることを目指す。

 そこで重要になってくるのがさまざまなセキュリティログの検知と分析だ。なかでもSplunkは、データプラットフォームとして多くの企業に利用される一方、セキュリティ面でも、SIEM(Security Information and Event Management)のログ管理、データ基盤として利用されるなど、検知と分析に欠かせない製品となっている。

 矢崎氏はまずセキュリティ製品を取り巻く環境には大きく5つのトレンドがあると指摘した。それは「データ戦略に紐づいたセキュリティストラテジー」「セキュリティ運用を最適化するための自動化のデマンド」「パブリッククラウドとハイブリッドクラウドと相互接続の促進」「重要な推進力となるコンプライアンス」「より大きなコラボレーションとインテリジェンスの共有の要件」だ。

Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏
Splunk Services Japan
セールスエンジニアリング本部
セキュリティ・スペシャリスト
矢崎誠ニ氏

 「データを活用しようとするとセキュリティを含めた『戦略』が必要です。また複雑化する環境のなかで戦略を実行するうえでは『自動化』が求められます。データはクラウド、オンプレを含めたさまざまな場所に存在しており、データを相互に『接続』することが重要です。また『コンプライアンス』を確保することや、複数の組織でコラボレーションによるインテリジェンスの『共有』も求められます」(矢崎氏)

 こうした5つのトレンドは、Splunkのグローバル顧客への調査から明らかになったものだという。同社には世界1万8000社の顧客がいて、そのうちの半数がセキュリティ用途で同社ソリューションを採用している。「セキュリティとデータをどう扱っていくかに対して、われわれがどのような価値を提供できるか常に考えて製品を展開しています」と矢崎氏は話す。

セキュリティ運用に訪れている4つの変化

 こうした5つのトレンドのなかで、技術や運用のあり方も従来とは異なるものに変化しはじめている。そうした変化は主に4つの領域で見ることができる。

 1つめは、オペレーションの重心がどこにあるかだ。これまではIT運用やセキュリティ運用というと主に製品の運用管理が主体だった。しかし今後はSIEMによるログ分析などの運用が主体になっていくという。

 2つめは、検出、調査、対応手段の管理手法だ。これまではセキュリティ製品ごとに独立して実施されることが多く、その連携や属人化が課題になりやすかった。それが今後は、検出、調査、対応手段が統合され、一元的に管理できるようになっていく。

 3つめは、アラートやインシデントレスポンスのあり方だ。これまではセキュリティオペレーションセンター(SOC)が管理するアラートは断片化され、迅速なインシデントレスポンスの妨げになりやすかった。今後はこれらが統合され、中央集権型のSOCのタスクとフローとして管理されるようになる。

 4つめは、製品連携のあり方の変化だ。これまではセキュリティ製品は独自の仕組みで連携されることが多く、拡張性や柔軟性がとぼしかった。今後は、オープンAPIによる連携が行われ、ベンダーの垣根を超えた協調動作などが可能になっていく。

 「こうしたテクノロジーとセキュリティオペレーションの変化に対応するために、Splunkが提唱している考え方が『Security Nerve Center』です。Nerveは中枢神経といった意味です。Splunk製品が中核となって、ファイアウォールやWAF、エンドポイント、ネットワーク、クラウド、ID管理システム、脅威インテリジェンスなどから生成されるデータをオーケストレーションします。これにより、セキュリティインシデントの観察(Osberve)から、適応(Orient)、意思決定(Dicision)、アクション(Act)まで、いわゆるOODAループをスムーズに実行できるようにします」(矢崎氏)

 OODAループは、刻一刻と変わる戦況に対して現場レベルで迅速に対応するための戦術だ。PDCAサイクルに変わって、近年注目を集めているものだ。

セキュリティ運用を自動化し、Tier1業務の90%を削減

 Splunkは、セキュリティログの検索だけでなく、分析基盤やデータプラットフォームとして活用されている。これにより「いつどのような問題が発生したのか」などを迅速に把握できる。ただ、矢崎氏によると、これまでにSplunkの機能では足りない部分もあったという。それがセキュリティオペレーションだ。

 「新たにセキュリティオペレーションの分野でも機能を提供しはじめました。これにより、分析基盤、データプラットフォーム、セキュリティオペレーションの3つを組み合わせることができるようになりました。データを貯めて、分析し、自動化していく。この戦略を『Splunk Security 2020』として体系化し、ユーザーにソリューションとして提供しています」(矢崎氏)

 自動化のキモの1つは、SOCで最も工数がかかるとされるセキュリティイベントの発生と分類、整理のTier1と呼ばれる初期対応だ。Splunkでは、このフェーズを過去に起こった膨大なイベントやインシデントのデータをフィードバックしてテンプレートとして活用することで運用者の判断を大幅に効率化する。この自動化により、実際に運用にかけていた90%の時間を削減できたケースもあったという。

  「セキュリティ対応の時間を削減することで、運用者が本来あるべき業務に特化できるようにします。グローバルのユーザー調査では企業はおよそ30のセキュリティ製品を管理しています。Splunkをオーケストレーションツールとして導入することで、Nerve Centerとしてさまざまな製品を1つのツールで管理できるようになります」(矢崎氏)

 こうした分析や運用自動化では、AIや機械学習などの技術も活用できる。具体的な技術としては、未知の脅威や異常動作を検知する「Splunk UBA」や、SOCを最新の状態の保つためのサーチテンプレートや業界の標準的なフレームワークを提供する「Splunk Enterprise Security コンテンツアップデート」、セキュリティのオーケストレーションと自動対応(SOAR)製品の「Phantom」などを紹介した。

 最後に矢崎氏は「Splunkは、分析基盤、データプラットフォーム、セキュリティオペレーションの3つをお客様のニーズに応じて提供できます」とSplunk Security 2020のビジョンを示し、講演を締めくくった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]