90%の時間を自動化! Splunkが2020年ビジョンで提案する自律型セキュリティオペレーション

ZDNET Japan Ad Special

2019-08-26 11:00

[PR]6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏が登壇。

 6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏が登壇。「Splunk Security 2020: 90%の時間を自動化する自律型セキュリティオペレーションとは?」と題し、可視化から検知、分析、対応までのセキュリティオペレーションを劇的に効率化する手法を解説した。

データとセキュリティを巡る5つのトレンド

 サイバーリスク対策は、「防御」から「検知と分析」への移行が進み、大きなうねりになりつつある。「防御」でフォーカスしていたのが、さまざまな脅威の社内への侵入をいかに防ぐかであったのに対し、「検知と分析」では侵入を許してしまっても、それをすばやく見つけ対策を打つことで脅威を最小限にとどめることを目指す。

 そこで重要になってくるのがさまざまなセキュリティログの検知と分析だ。なかでもSplunkは、データプラットフォームとして多くの企業に利用される一方、セキュリティ面でも、SIEM(Security Information and Event Management)のログ管理、データ基盤として利用されるなど、検知と分析に欠かせない製品となっている。

 矢崎氏はまずセキュリティ製品を取り巻く環境には大きく5つのトレンドがあると指摘した。それは「データ戦略に紐づいたセキュリティストラテジー」「セキュリティ運用を最適化するための自動化のデマンド」「パブリッククラウドとハイブリッドクラウドと相互接続の促進」「重要な推進力となるコンプライアンス」「より大きなコラボレーションとインテリジェンスの共有の要件」だ。

Splunk Services Japan セールスエンジニアリング本部 セキュリティ・スペシャリスト 矢崎誠ニ氏
Splunk Services Japan
セールスエンジニアリング本部
セキュリティ・スペシャリスト
矢崎誠ニ氏

 「データを活用しようとするとセキュリティを含めた『戦略』が必要です。また複雑化する環境のなかで戦略を実行するうえでは『自動化』が求められます。データはクラウド、オンプレを含めたさまざまな場所に存在しており、データを相互に『接続』することが重要です。また『コンプライアンス』を確保することや、複数の組織でコラボレーションによるインテリジェンスの『共有』も求められます」(矢崎氏)

 こうした5つのトレンドは、Splunkのグローバル顧客への調査から明らかになったものだという。同社には世界1万8000社の顧客がいて、そのうちの半数がセキュリティ用途で同社ソリューションを採用している。「セキュリティとデータをどう扱っていくかに対して、われわれがどのような価値を提供できるか常に考えて製品を展開しています」と矢崎氏は話す。

セキュリティ運用に訪れている4つの変化

 こうした5つのトレンドのなかで、技術や運用のあり方も従来とは異なるものに変化しはじめている。そうした変化は主に4つの領域で見ることができる。

 1つめは、オペレーションの重心がどこにあるかだ。これまではIT運用やセキュリティ運用というと主に製品の運用管理が主体だった。しかし今後はSIEMによるログ分析などの運用が主体になっていくという。

 2つめは、検出、調査、対応手段の管理手法だ。これまではセキュリティ製品ごとに独立して実施されることが多く、その連携や属人化が課題になりやすかった。それが今後は、検出、調査、対応手段が統合され、一元的に管理できるようになっていく。

 3つめは、アラートやインシデントレスポンスのあり方だ。これまではセキュリティオペレーションセンター(SOC)が管理するアラートは断片化され、迅速なインシデントレスポンスの妨げになりやすかった。今後はこれらが統合され、中央集権型のSOCのタスクとフローとして管理されるようになる。

 4つめは、製品連携のあり方の変化だ。これまではセキュリティ製品は独自の仕組みで連携されることが多く、拡張性や柔軟性がとぼしかった。今後は、オープンAPIによる連携が行われ、ベンダーの垣根を超えた協調動作などが可能になっていく。

 「こうしたテクノロジーとセキュリティオペレーションの変化に対応するために、Splunkが提唱している考え方が『Security Nerve Center』です。Nerveは中枢神経といった意味です。Splunk製品が中核となって、ファイアウォールやWAF、エンドポイント、ネットワーク、クラウド、ID管理システム、脅威インテリジェンスなどから生成されるデータをオーケストレーションします。これにより、セキュリティインシデントの観察(Osberve)から、適応(Orient)、意思決定(Dicision)、アクション(Act)まで、いわゆるOODAループをスムーズに実行できるようにします」(矢崎氏)

 OODAループは、刻一刻と変わる戦況に対して現場レベルで迅速に対応するための戦術だ。PDCAサイクルに変わって、近年注目を集めているものだ。

セキュリティ運用を自動化し、Tier1業務の90%を削減

 Splunkは、セキュリティログの検索だけでなく、分析基盤やデータプラットフォームとして活用されている。これにより「いつどのような問題が発生したのか」などを迅速に把握できる。ただ、矢崎氏によると、これまでにSplunkの機能では足りない部分もあったという。それがセキュリティオペレーションだ。

 「新たにセキュリティオペレーションの分野でも機能を提供しはじめました。これにより、分析基盤、データプラットフォーム、セキュリティオペレーションの3つを組み合わせることができるようになりました。データを貯めて、分析し、自動化していく。この戦略を『Splunk Security 2020』として体系化し、ユーザーにソリューションとして提供しています」(矢崎氏)

 自動化のキモの1つは、SOCで最も工数がかかるとされるセキュリティイベントの発生と分類、整理のTier1と呼ばれる初期対応だ。Splunkでは、このフェーズを過去に起こった膨大なイベントやインシデントのデータをフィードバックしてテンプレートとして活用することで運用者の判断を大幅に効率化する。この自動化により、実際に運用にかけていた90%の時間を削減できたケースもあったという。

  「セキュリティ対応の時間を削減することで、運用者が本来あるべき業務に特化できるようにします。グローバルのユーザー調査では企業はおよそ30のセキュリティ製品を管理しています。Splunkをオーケストレーションツールとして導入することで、Nerve Centerとしてさまざまな製品を1つのツールで管理できるようになります」(矢崎氏)

 こうした分析や運用自動化では、AIや機械学習などの技術も活用できる。具体的な技術としては、未知の脅威や異常動作を検知する「Splunk UBA」や、SOCを最新の状態の保つためのサーチテンプレートや業界の標準的なフレームワークを提供する「Splunk Enterprise Security コンテンツアップデート」、セキュリティのオーケストレーションと自動対応(SOAR)製品の「Phantom」などを紹介した。

 最後に矢崎氏は「Splunkは、分析基盤、データプラットフォーム、セキュリティオペレーションの3つをお客様のニーズに応じて提供できます」とSplunk Security 2020のビジョンを示し、講演を締めくくった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]