!!

!!

!

!

購入者向けガイド

SIEM の購入者向けガイドいつ、どこで、誰が、どの分析主導型セキュリティソリューションを購入すべきか

2SIEM の購入者向けガイド

購入者向けガイド

1. SIEM とは ......................................................................................................... 3a. SIEM の進化.......................................................................................................................................4b. 旧来の SIEM は過去に囚われる ..........................................................................................................4c. 解決策は、分析主導型 SIEM...............................................................................................................5d. SIEM をクラウドに対応させる ..............................................................................................................6e. SIEM のユースケース ..........................................................................................................................6f. 本当に SIEM が必要か ........................................................................................................................7

2. SIEM の基本機能 ............................................................................................... 8a. リアルタイム監視 .................................................................................................................................9

Autodesk 社、AWS で Splunk を利用することで時間と資本支出を削減b. インシデント対応 ...............................................................................................................................10c. ユーザー監視 ....................................................................................................................................11d. 脅威インテリジェンス .........................................................................................................................12 ロサンゼルス市はリアルタイムのセキュリティインテリジェンスを統合

e. 高度な分析 .......................................................................................................................................13 Equinix 社は革新的なクラウドベースの SIEM 導入により実用的なセキュリティインテリジェンスを取得

f. 高度な脅威検出 .................................................................................................................................14 SAIC 社が可視性と脅威検出機能を獲得

3. 最新の SIEM が備える 9 つの技術的機能 ...................................................................... 15a. SIEM としての Splunk ......................................................................................................................15

i. ログとイベントの収集 ..................................................................................................................16ii. リアルタイムでの相関ルールの適用 .............................................................................................16iii. 高度な分析と機械学習のリアルタイムでの適用 .............................................................................16iv. 長期的な履歴分析と機械学習 ......................................................................................................16v. イベントの長期的な保存 .............................................................................................................16vi. 正規化されたデータに対するサーチとレポート作成 ......................................................................17vii. Raw データに対するサーチとレポート作成 ..................................................................................17viii. コンテキストデータの取り込みによる追加の相関付けと分析..........................................................17ix. セキュリティ以外のユースケースへの対応 ....................................................................................17

4. Splunk の導入 ................................................................................................ 18a. SIEM としての Splunk ......................................................................................................................19b. Splunk UBA .....................................................................................................................................20c. Splunk の ROI ストーリー .................................................................................................................20

i. InfoTeK 社と Splunk、公共機関向けのセキュリティ インテリジェンス プラットフォームを確立 ...........21ii. Heartland Automotive 社、Splunk プラットフォームでブランドの評判を守り、データを保護 ............21iii. 米国政府の閣僚レベルの省庁が従来のソフトウェアのメンテナンスコストを 900,000 ドル削減 ..........22

d. SIEM の未来.....................................................................................................................................22

目次

3SIEM の購入者向けガイド

購入者向けガイド

セキュリティ情報イベント管理 (SIEM) ソリューションとは、パイロットや管制官が使うレーダーシステムのようなものです。SIEM を導入していない企業の IT 部門は、目隠しして飛んでいるようなものです。セキュリティアプライアンスとシステムソフトウェアは、単独の攻撃や異常行動を検出してログをとることには長けています。しかし、今日の最も深刻な脅威は複数のシステムにまたがり連携して実行される分散的な攻撃であり、高度な回避技術で検出を免れてしまいます。SIEM を導入していなければ、そのような攻撃が大損害を及ぼすインシデントにまで拡大してしまうのです。

攻撃がますます高度になるとともに、クラウドサービスが普及することで脆弱性の標的が拡大する一方の今日、企業にとっての SIEM ソリューションの重要性が増大しています。

この購入者向けガイドでは、SIEM ソリューションとはどのようなもので、どのように進化してきたのか、何ができるのか、そして貴社のセキュリティソリューションとして適しているかどうかを確認する方法について説明します。

SIEM とはガートナー社による SIEM の定義は、「さまざまなイベントとコンテキストデータのソースからセキュリティイベントをリアルタイムに収集して履歴分析を行うことにより、脅威検出とセキュリティインシデント対応をサポートするテクノロジー」というものです。

1. SIEM とは

!!

!!

!

!

4SIEM の購入者向けガイド

購入者向けガイド

SIEM を平易な言葉で説明する SIEM を短くまとめると、イベントログを取り込み、これにインサイトを追加して単一のビューを提供するセキュリティプラットフォームということです。

SIEM の進化SIEM は新しいテクノロジーというわけではありません。このプラットフォームの基本的な機能は、15 年ほど前から何らかの形で存在していました。

SIEM ソリューションは時の経過に伴い情報プラットフォームとしての色合いを強め、利用範囲が拡大して、コンプライアンスレポートの作成機能やファイアウォールなどのデバイスからログを集計する機能も搭載するようになりました。ところが、SIEM テクノロジーは往々にして複雑で調整が難しく、IT 担当者が攻撃を検出するためには、何を求めているのかを理解しておく必要がありました。このテクノロジーは難解なうえに拡張性に欠けるものでした。

その結果、SIEM ソリューションはより柔軟で使いやすいものに進化を遂げたのです。組織がクラウドソリューションの採用を進め、日常生活のあらゆる側面にデジタル変革の波が押し寄せている今、これはことさら重要になっています。

旧来の SIEM ソリューションと最新の分析主導型 SIEM ソリューションの違いを理解することが重要なのはこのためです。これについては、後ほど説明します。

さらに、SIEM に関連するユースケースについて理解し、貴社に SIEM ソリューションが本当に必要なのか、あるいは他のソリューションが適しているのかを見極めることも重要です。

そのようなわけで、旧来の SIEM ソリューションと最新の分析主導型 SIEM ソリューションの違いを明確にする必要があるのです。

旧来の SIEM は過去に囚われるセキュリティのみに関連するデータを収集、保存、分析するメカニズムを見つけるのは比較的簡単です。データの保存オプションは数多く存在しています。しかし、セキュリティに関連するデータをすべて収集し、それらすべてを実用的なインテリジェンスに変換するとなると、まったく別の話です。

SIEM プラットフォームに投資してきた企業の IT 部門の多くは、この根本的な事実を身をもって思い知らされています。膨大な時間と費用をセキュリティイベントの記録に費やした後で、これらすべてのデータを取り込むには非常に長い時間がかかるうえ、SIEM の基盤となるデータシステムが往々にして静的なものだと気づくことになるのです。

さらに困ったことに、分析に使用できるデータはセキュリティイベントに関連するものしかありません。そのため、セキュリティイベントとセキュリティ領域以外の IT 環境で発生していることを相関付けることが困難となります。いざ問題が発生するとセキュリティイベントの調査に膨大な時間が必要になりますが、ほとんどの IT 部門にはその余裕がありません。さらに、旧来の SIEM ソリューションでは、セキュリティイベントの調査に必要なスピードに対応しきれません。クラウドサービスの導入が増え続けると、脅威の経路が拡大します。企業が潜在的な脅威や攻撃の全容を把握するためには、主要なクラウドサービスや Software-as-a-Service (SaaS)、オンプレミスサービスでのユーザーの活動、行動、アプリケーションアクセスを監視する必要があります。

以下の図は、旧来の SIEM ソリューションの主な制約事項を示しています。

旧来の SIEM - 問題の詳細

必要なデータを使用できない

安定性に欠ける

メンテナンスと運用が難しい

データに柔軟性がない

検出漏れと誤検知が多い

静的なワークフロー

最新の脅威を検出できない

問題

検出、調査、対応に限界

停止の発生

複雑さとスタッフへの負荷

重要なケースに対応できない

セキュリティ運用の負荷

限定的で制約がある

ビジネスリスク

影響

5SIEM の購入者向けガイド

購入者向けガイド

解決策は、分析主導型 SIEM 企業の IT 部門が今必要としているのは、セキュリティ関連のすべてのデータを簡単に関連付ける方法です。いわば、セキュリティ体制の管理を可能にするソリューションです。IT 部門は、イベントが発生した後で観察するだけではなく、その発生を予期する能力を備えるとともに、脆弱性をリアルタイムに限定できる手段を実装する必要があります。そのために必要となるものが、分析主導型 SIEM プラットフォームです。

旧来の SIEM ソリューションと最新のソリューションの違いは、ここにあります。ガートナー社はこの違いについて、「最新の SIEM は単なるログデータ以外の情報も扱い、シンプルな相関ルール以上のルールをデータ分析に適用する」と説明しています。

これに当てはまるのが、最新の SIEM の中でも Splunk が「分析主導型 SIEM」と呼ぶ特別なタイプの SIEM です。この最新ソリューションを使用すれば、IT 部門はリアルタイムに脅威を監視し、インシデントに迅速に対応して、被害を回避するか限定することができます。ただし、すべての攻撃が

外部からとは限りません。IT 部門には、ユーザーの活動を監視する手段も必要です。これにより、内部脅威や意図しない侵害のリスクを最低限に抑えることができます。脅威インテリジェンスは、より広範な脅威環境の性質を把握して、これらの脅威を組織のコンテキストに落とし込むために欠かせません。

分析主導型 SIEM はセキュリティ分析能力が優れており、IT チームは高度な定量的手法を使用してインサイトを獲得し、作業に優先順位を設定できるようになります。最後に、今日の SIEM は、コアプラットフォームの一部として、高度な脅威に対応するために必要な専用のツールを搭載している必要があります。

分析主導型 SIEM と旧来の SIEM のその他の大きな違いとして、最新のソリューションは柔軟性に優れているため、オンプレミス環境、クラウド環境、ハイブリッド環境にデプロイできることが挙げられます。

以下の表は、組織が旧来の SIEM ではなく分析主導型 SIEM ソリューションを選ぶべき 7 つの大きな理由を示しています。

旧来の SIEM を最新の SIEM に置き換えるべき 7 つの大きな理由多くの組織は、旧来の SIEM の時代遅れなアーキテクチャに縛られています。このようなアーキテクチャは通常、スキーマが固定された SQL データベースを使用します。このようなデータベースは、単一障害点となったり、拡張性やパフォーマンスが制約されたりするものです。

1. セキュリティタイプが 制限される

取り込まれるデータのタイプが制約されるため、検出、調査、応答時間に限界があります。

2. データを効果的に 取り込めない

旧来の SIEM では、データの取り込みに多くの作業が必要となったり、非常にコストがかかったりします。

3. 調査に時間がかかる 旧来の SIEM では、Raw ログのサーチなどの基本的なアクションに膨大な時間がかかり、完了まで何時間、何日もかかる場合もあります。

4. 安定性と拡張性に 欠ける

SQL ベースのデータベースは、大規模になるほど安定性が低下します。顧客は多くの場合、パフォーマンスの低さか、イベントの急増によるサーバーダウンに起因する多数のシステム停止に悩まされます。

5. サポート終了または 不明瞭なロードマップ

旧来の SIEM ベンダーの買収や合併が起こると、研究開発のペースが落ちることになります。投資と変革を続けなければ、セキュリティソリューションはますます進化する脅威の状況に遅れをとることになります。

6. 閉鎖的なエコシステム 旧来の SIEM ベンダーは、他社ツールとの連携機能が欠けていることが多く、顧客は SIEM に搭載された機能を使用するか、カスタム開発とプロフェッショナルサービスにさらに費用を注ぎ込むことを強いられます。

7. オンプレミスに 限定される

旧来の SIEM は、多くの場合、オンプレミスへのデプロイに限定されます。しかし、セキュリティ担当者は、クラウド環境、オンプレミス環境、ハイブリッド環境まですべてのワークロードを使用できなければなりません。

6SIEM の購入者向けガイド

購入者向けガイド

SIEM をクラウドに対応させる多くの組織が抱えるセキュリティインテリジェンスの問題はクラウドや SaaS で SIEM を実行することで解決できるのですが、いまだに多くの IT リーダーはクラウドのセキュリティと信頼性を疑問視しています。クラウドベースの SIEM ソリューションを選択肢から外す前に、ほとんどの大手クラウドサービスは一般企業よりも遥かに高度なセキュリティテクノロジーを導入して運用していることを考える必要があります。

SaaS は、CRM、HR、ERP、ビジネスアナリティクスといった基幹システムで既に広く利用されています。SaaS がエンタープライズアプリケーションに適している理由としては、デプロイメントが迅速に完了して便利、運用コストの削減、自動アップデート、従量課金、そしてインフラの拡張性とセキュリティの高さが挙げられますが、それと同じ理由から、SIEM にはクラウドが適しています。

クラウドベースのソリューションは、オンプレミス環境とクラウド環境の幅広いデータセットを利用する柔軟性をもたらします。Infrastructure-as-a-Service (IaaS)、Platform-as-a-Service (PaaS)、SaaS へのエンタープライズワークロードの移行が増えると、他社システムとの連携の容易さから、クラウド環境で SIEM を運用することが合理的なことが明らかになります。SIEM をクラウドに対応させる主なメリットとしては、ハイブリッドアーキテクチャの柔軟性、ソフトウェアの自動アップデート、シンプルな設定、迅速に構築できて拡張性の高いインフラ、優れた制御性、高可用性などがあります。

SIEM のユースケースここまでで、SIEM の進化過程と、最新の分析主導型 SIEM が旧来の SIEM とどう違うのかについて理解を深めました。続いて、セキュリティに関するどのようなユースケースがこのテクノロジーで実際に解決されるのかを説明します。

今日の企業のセキュリティチームは、高度な脅威を早期に検出し、迅速な対処を行い、リスクを軽減するために協力体制を整えるという重大な責務を果たさなければなりません。ログやセキュリティイベントのレポートを作成したり監視したりするだけでは、もはや不十分なのです。セキュリティ担当者には、IT 部門、ビジネス部門、クラウドなど組織のあらゆる場所で大量に発生するすべてのデータソースの分析に基づいた広範なインサイトが必要です。外部からの攻撃や悪意ある内部者の先手を取り続けるためには、迅速な応答検出、インシデント調査、CSIRT が実行するセキュリティ侵害シナリオとの調整などに利用できる、高度なセキュリティソリューションの導入も必要です。さらに、企業には、既知の脅威、未知の脅威、高度な脅威を検出し、それらに対処する能力が必要です。

企業のセキュリティチームは、セキュリティに関する一般的なユースケースを解決するだけでなく、高度なユースケースにも対応できる SIEM ソリューションを必要としています。急速に変化する脅威の状況に対処していくため、今日の SIEM には、次のような能力が求められています。

• すべてのセキュリティ関連イベントをリアルタイムで集積および一元管理する

• syslog、ファイル伝送、ファイル収集など、多様な受信収集メカニズムに対応する

• セキュリティイベントにコンテキストと脅威インテリジェンスを追加する

• 多様なデータを相関分析し、アラートを生成する • 高度な脅威や未知の脅威を検出する

• 組織全体のシステムの動作を分析し、パターン化する

• すべてのデータ (ユーザー、アプリケーション) を取り込み、監視、アラート生成、調査、アドホックサーチにそれらを利用できるように調整する

• 高度な侵害分析から得られたデータに基づいて、アドホックサーチとレポート作成を行う

• インシデントを調査し、フォレンジック調査を実施して、詳細なインシデント分析を行う

• コンプライアンス体制を評価し、レポートを作成する

• セキュリティ体制を分析し、レポートを作成する

• 合理的なアドホック分析とイベントの順序付けにより、攻撃者の行動を追跡する

SIEM のデータは主にサーバーとネットワークデバイスのログから収集されますが、他にもエンドポイントセキュリティ、ネットワーク セキュリティ デバイス、アプリケーション、クラウドサービス、認証および承認システム、既知の脆弱性と脅威を集めたオンラインデータベースなどのデータソースがあります。

ただし、データを収集するだけでは不十分です。次に SIEM ソフトウェアは、完成したリポジトリで相関分析を行い、異常な行動やシステムアノマリ、セキュリティインシデントを示す痕跡を探します。この情報は、リアルタイムのイベント通知に使用されるほか、コンプライアンス監査とレポート作成、パフォーマンスダッシュボード、履歴トレンド分析、事後のインシデントフォレンジックにも使用されます。

セキュリティ上の脅威が増加して高度化が進むとともに、あらゆる組織でデジタル資産の価値が向上している中で、IT セキュリティを担うエコシステムの一環として分析主導型 SIEM ソリューションの導入が増え続けているのも当然のことです。

7SIEM の購入者向けガイド

購入者向けガイド

本当に SIEM が必要かSIEM の使用目的を理解したところで、議論を広げてみましょう。貴社に必要なのは本当に SIEM でしょうか？他のソリューションでしょうか？

組織によっては、高度なセキュリティのユースケースに対応できる段階には至っておらず、マシンデータに関するインサイトを提供する一元化されたログ管理 (CLM) などのソリューションで十分な場合があります。手前味噌になりますが、Splunk Enterprise によるセキュリティとログ管理についてご確認ください。

さて、CLM とはどのようなソリューションなのでしょうか？CLM を簡単に定義すると、ログデータを一元的に可視化するソリューションです。

より詳しいコンテキストを理解していただくために、1 つ質問をします。ログデータとは何でしょうか？

ログデータとはコンピューターによって生成されるログメッセージで、各企業、組織、機関で発生していることが明確に記録されています。トラブルシューティングや上位のビジネス目標を補足するうえで有用なのですが、多くの場合はまだ十分に活用されていないのが現状です。

CLM に戻りましょう。ログ管理の目的は、コンピューターによって生成されるこれらのログを収集し、サーチとレポート作成に利用できるようにすることです。セキュリティの観点から言うと、CLM はインシデント調査やアラートのトリアージなどに役立ちます。

ログ管理は SIEM の誕生当時から中心的な機能でした。それでは、ログデータからインサイトを獲得することだけが目的であれば、果たして分析主導型 SIEM ソリューションは最適なツールと言えるのでしょうか？著名な SIEM アナリストの Anton Chuvakin 博士に答えを求めることにしましょう。

つまり、SIEM ソリューションをログ集計のためだけに使用しているのであれば、過剰な投資だということです。ここで重要なポイントは、SIEM を使用すれば基本的なユースケースと高度なユースケースの両方を解決できるということです。

別な方向に目を向けると、ガートナー社が生み出した造語の「User and Entity Behavior (UEBA)」(ユーザーおよびエンティティの行動分析) があります。他の呼び方として、Forrester 社が使う「Security User Behavior Analytics (SUBA)」(セキュリティ ユーザー行動分析) や、Splunk が使う「User Behavior Analytics (UBA)」(ユーザー行動分析) などがあります。これらはすべて基本的に、同じテクノロジーを異なる方法で表現するものです。

UBA は、社内外の脅威を検出して修復するために使用されます。UBA は、ユーザーの通常の習性を把握して基準を設定し、これを外れた行動が発生したらアラートを送信する機能を備えていることなどから、多くの場合、より高度なセキュリティのユースケースとみなされます。

基準の設定について話を続けると、UBA ソリューションでは基準を確立するために、次のような行動の習性を追跡します。

• ユーザーは通常、どこからログインするのか

• ユーザーはどのようなアクセス権を持つのか • ユーザーはどのようなファイル、サーバー、アプリケーションにアクセスするのか

• ユーザーは通常、どのデバイスからログインするのか

なお、一部の UBA ベンダーは SIEM 市場への参入を試みています。これらの企業は SIEM 側から見ると新規参入企業となります。UBA は役に立つソリューションですが、単体で SIEM ソリューションの代わりに使うことはできません。また、UBA は SIEM の新規カテゴリーではなく、まったく独自のセキュリティテクノロジーです。理想的には、UBA ソリューションは分析主導型 SIEM と連携させて使用するものです。

簡単に言うと、CLM ソリューションが SIEM ではないのと同じく、UBA ソリューションも SIEM ではありません。Chuvakin 博士がそのことをツイートされるとよいのですが。

8SIEM の購入者向けガイド

購入者向けガイド

ここからは、分析主導型 SIEM ソリューションの本質に迫ります。分析主導型 SIEM には 6 つの基本機能があります。

リアルタイム監視 脅威は動きが俊敏です。IT 部門には、脅威を監視するとともにイベントの相関分析をリアルタイムで行い、脅威を検出して阻止する機能が必要です。

インシデント対応 IT 部門には、潜在的な侵害や、セキュリティ侵害または攻撃の発生後に対応して管理する体系的な方法が必要です。これにより、被害を限定するとともに、回復までの時間を短縮し、コストを低減することができます。

ユーザー監視 高い精度で侵害を指摘し、悪用を検出するためには、コンテキストを考慮してユーザーの活動を監視することが重要です。特権ユーザーの監視は、コンプライアンスレポートで一般に求められる要件です。

脅威インテリジェンス 脅威インテリジェンスにより、IT 部門は異常なアクティビティを認識し、ビジネスを脅かすリスクを評価し、対応に優先順位を設定できるようになります。

高度な分析 分析は、大量のデータからインサイトを構築するうえで鍵となります。機械学習によってこの分析を自動化し、隠れた脅威を特定できます。

高度な脅威検出 セキュリティ担当者には、キルチェーン全体で脅威を監視、分析、検出するための専用ツールが必要です。

2. SIEM の基本機能

!!

!!

!

!

9SIEM の購入者向けガイド

購入者向けガイド

これらの機能によって、組織はセキュリティに関する幅広いユースケースやコンプライアンスに SIEM を活用できるようになります。また、最新の SIEM を機能に基づいて定義できるようになります。それでは、分析主導型 SIEM を構成する基本機能をそれぞれ詳しく見ていきましょう。

リアルタイム監視脅威の検出に時間がかかるほど、被害は拡大します。IT 部門には、オンプレミスまたはクラウド上のあらゆるデータセットに対してリアルタイムに適用できる監視機能を備えた SIEM が必要です。さらに、この監視機能は、資産データや ID データのようなコンテキストデータとともに、アラートの生成に使用できる脅威インテリジェンスも取り込める必要があります。

分析主導型 SIEM は、ユーザー、デバイス、アプリケーションはもちろん、特に ID と紐付いていないアクティビティも含め、IT 環境内のあらゆるエンティティを検出できなければなりません。SIEM はこのデータをリアルタイムに使用することで、さまざまなタイプやクラスの異常な行動を特定できるようになります。特定されたデータは、このアノマリから示唆されるビジネスに迫る潜在的なリスクを評価するために設定されたワークフローに簡単にフィードできる必要があります。

また、事前に定義されたカスタマイズ可能な相関ルールのライブラリ、セキュリティインシデントとイベントをリアルタイムに表示するセキュリティ イベント コンソール、継続的な脅威アクティビティをリアルタイムに可視化するダッシュボードが必要です。

次に、これらすべての機能を補完するものとして、リアルタイムの起動または日時指定の定期実行が可能なすぐに使える相関サーチも必要です。これらのサーチは、分かりやすいユーザーインターフェイスを備え、IT 管理者がサーチ言語を習得しなくてもすぐ使用できるものでなければなりません。

最後に、分析主導型 SIEM には、リアルタイムデータと履歴データのサーチをローカルで実行できる機能が必要です。これにより、サーチデータへのアクセスに伴うネットワークトラフィックが低減されます。

Autodesk 社、AWS で Splunk を利用することで時間と資本支出を削減Autodesk 社のソフトウェアを使ってアイデアを設計、可視化、シミュレーションしているユーザーは、製造、建築、建造、建設、メディア、エンターテイメントなどのさまざまな業界に及んでいます。これには、過去 20 年間にアカデミー視覚効果賞を受賞した企業も含まれています。世界中で大規模に展開している Autodesk 社は、2 つの異なる課題に直面していました。1 つは、世界各地のさまざまな社内グループ全体での運用とセキュリティに関するインサイトを得られないことで、もう 1 つはオペレーショナル インテリジェンス ソフトウェアをデプロイするのに最適なインフラを選ぶ必要があることでした。Splunk のプラットフォームをデプロイして以来、Autodesk 社は次のようなメリットを得られるようになりました。

• 数十万ドルのコストを節約• 運用とセキュリティに関する重要なインサイトを獲得• 製品のパフォーマンスをリアルタイムで可視化

Splunk が選ばれた理由Autodesk 社が Splunk を初めて導入したのは 2007 年で、当時の目的はマシンデータを運用のトラブルシューティングに活かすことでした。現在、Autodesk 社は Splunk 製品の活用範囲を拡大し、リアルタイム監視、セキュリティに対する詳細なインサイトの取得、経営幹部向けビジネスアナリティクスを次の 3 つの部門で利用しています。

• Enterprise Information Services (EIS) ̶ 世界中の社内 IT 管理を担当。情報セキュリティと情報管理の業務も含まれます。

• Autodesk Consumer Group (ACG) ̶ Autodesk 社のすべての一般消費者向け製品を担当。

• Information Modeling & Platform Products (IPG) ̶ さまざまな業界のデザイナーやエンジニアなど、商用ユーザー向け Autodesk ソリューションを担当。

Autodesk 社は、Splunk Enterprise Security (Splunk ES) を使用することによって、セキュリティの問題を検出、解決する時間を短縮しています。また、Splunk App for AWS を使用して、Splunk Enterprise などの重要なアプリケーションのリソースを柔軟に提供および管理しています。

データに基づく意思決定を強化Splunk Enterprise、Splunk App for AWS、Splunk Enterprise Security、およびその他の Splunk ソリューションのおかげで、Autodesk 社は、運用、セキュリティ、製品のパフォーマンスに関する重要なインサイトをリアルタイムで得られるようになりました。Splunk のデータに基づく柔軟性の高い分析機能と AWS ベースのプラットフォームを利用することで、Autodesk 社は時間と資本支出を削減し、より広い範囲と深いレベルで重要な意思決定を下せるようになったのです。詳細はこちら

10SIEM の購入者向けガイド

購入者向けガイド

インシデント対応すべての効果的なインシデント対応戦略の中心には、高機能な SIEM プラットフォームが存在します。これにより、明確なインシデントを検出するだけでなく、これらを追跡して割り当て直したり、注釈を追加したりすることが可能になります。

IT 担当者は、役割に基づいて組織の他のメンバーにさまざまなレベルのアクセス権を付与できます。その他の主要機能としては、イベントを手動または自動で収集する機能、他社システムとの間でデータを双方向で連携できる API (Application Programming Interface) のサポート、法的に許容されるフォレンジックの証拠を収集する機能、そして特定の種類のインシデントに対応する方法を示すプレイブックが挙げられます。

最も重要な要件として、分析主導型 SIEM は進行中のサイバー攻撃を阻止できる自動対応機能を搭載している必要があります。

事実上、SIEM プラットフォームは、インシデント管理用のカスタマイズ可能なワークフローを構築するためのハブとして機能する必要があります。もちろん、すべてのインシデントの緊急度が同レベルに設定されるわけではありません。分析主導型 SIEM プラットフォームはダッシュボードを通じて、潜在的な脅威の重大度を分類するための手段を IT 部門に提供します。このダッシュボードでは、新しい重要なイベントのトリアージ、アナリストへのレビュー対象イベントの割り当て、重要イベントの詳細の調査による調査リードの作成が可能です。分析主導型 SIEM は IT 部門に、個々のイベントに適した対応を決定するために必要なコンテキスト情報を提供します。

これらの対応機能には、重要なイベントとそのステータスの検出、イベントの重大度の判定、修復プロセスの開始、インシデントを取り巻くプロセス全体の監査などがあります。

最後に、IT チームには、調査中にあらゆるフィールドにフィルターを自由に簡単に適用し、数回のクリックで分析範囲の拡大や縮小が行えるダッシュボードが必要です。最終目標は他でもなく、セキュリティチームのあらゆるメンバーがイベント、アクション、注釈をタイムラインに挿入できるようにすることです。それにより、チームの他のメンバーも最新状況を簡単に理解できるようになります。ジャーナルにこのタイムラインを追加できるため、攻撃を調査したり繰り返し可能なキルチェーン手法を実装したりして、特定の種類のイベントに対処することが容易になります。

PagerDuty 社、クラウドと AWS でエンドツーエンドの可視化を実現

エンタープライズ向けインシデント対応サービスを提供する PagerDuty 社の顧客は、IT インシデントの迅速かつ効率的な管理と解決のために同社を利用しています。クラウドネイティブの同社は、運用分析とトリアージのニーズを満たすソリューションを求めていましたが、Amazon Web Services (AWS) で Splunk Cloud を導入することになりました。PagerDuty 社は Splunk Cloud と AWS により、自社サービスの可用性を高く保ち、規模を拡大して顧客の需要を満たすことができます。Splunk Cloud をデプロイして以来、PagerDuty 社は次のようなメリットを得られるようになりました。

• クラウドサービスの顧客満足度と高可用性を維持• 従来のサービスと比較し、30% ものコスト削減を実現• IT とセキュリティに関するインシデントの解決時間が数十分だったのを、数分単位から秒単位にまで短縮

Splunk が選ばれた理由Arup Chakrabarti 氏は、PagerDuty 社のインフラエンジニアリング担当ディレクターとして、サイトの信頼性、社内プラットフォーム、セキュリティエンジニアリングを担当しています。同氏の組織が掲げている目標は、エンジニアリング組織全体で生産性と効率性を促進することです。この組織は複数のエンジニアリングチームから構成され、会社の製品開発組織の一部です。

Splunk Cloud を導入するまで、PagerDuty 社ではロギングソリューションを利用していましたが、このソリューションは拡張性に欠け、同社が毎日数百ギガバイトものログをインデックス化するようになると、対応できなくなっていたのです。 さらに、データから実用的な情報を獲得して迅速に意思決定を下し、問題を解決することが困難でした。同社のチームは従来のサービスと Splunk Cloud を並行運用した後で、Splunk Cloud には問題を迅速に解決し、顧客に対して高い可用性を維持できると判断したのです。Splunk Cloud への移行は、エンジニアがわずか数日で済ませました。

Chakrabarti 氏は語ります。「以前のソリューションでは、クエリでデータを分析して必要な情報を提供するまで最大 30 分もかかりました。これは許容できる時間ではありません。顧客への影響という観点から、当社は Splunk Cloud を導入してこの時間を短縮し、解決まで数十分かかっていたところを数分単位から秒単位にまで短縮できたのです」。

Chakrabarti 氏によると、コストは Splunk Cloud を選んだ主な理由ではありませんでしたが、次のようにも述べています。「『最高のソリューションを導入する。ちなみに、現在使用しているものより 30% も安くなる』と伝えたところ、会計チームは非常に喜んでいました」。詳細はこちら

11SIEM の購入者向けガイド

購入者向けガイド

ユーザー監視ユーザーの活動を監視するためには、最低限でも、アクセスデータと認証データの分析、ユーザーコンテキストの確立、疑わしい行動や企業ポリシーおよび規制ポリシーの違反に関連するアラート発信を行う機能が必要です。

ユーザー監視の対象として特権ユーザーも含めることが極めて重要です。このようなユーザーは攻撃の標的となることが多く、侵害されると深刻なダメージを引き起こすからです。事実、規制対象となる業界の多くではこのリスクを考慮して、特権ユーザーの監視がコンプライアンスレポートで一般に求められる要件となっています。

これらの目標を達成するには、他社のアプリケーションやサービスを必要な数だけ追加して拡張できる多様な ID 管理メカニズムを活用できる、リアルタイムの可視化機能とレポート作成機能が必要です。

Travis Perkins 社、分析主導型 SIEM を導入してハイブリッドクラウドへの移行を実現Travis Perkins 社は、英国の建築業者向け建材業者および住宅リフォーム小売企業であり、2,000 店の店舗を構え、28,000 人の従業員を擁しています。同社は 2014 年に「クラウドファースト」ジャーニーに踏み出しましたが、既存の SIEM ソリューションでは、ハイブリッド環境全体で必要なセキュリティインサイトを提供できていませんでした。いくつかの候補を検討した結果、Splunk Cloud、Splunk Enterprise、Splunk Enterprise Security (ES) を SIEM として選定したのです。Splunk のプラットフォームをデプロイして以来、同社は次のようなメリットを得られています。

• ハイブリッドインフラ全体で可視性を向上• 複雑なサイバー脅威を検出して対応する機能を獲得• より効率的なリソース管理により、IT コストを削減

Splunk が選ばれた理由不景気下で難しい市況に直面した Travis Perkins 社は、テクノロジーへの投資の優先順位を下げました。最近では、ビジネスの状況が改善する中で、同社はテクノロジーインフラ全体について戦略的な見直しを行い、コスト削減と柔軟性向上を目指すクラウドファーストのアプローチを導入しました。同社は Google Cloud の G Suite、Amazon Web Services、Infor CloudSuite などいくつかのクラウドサービスの導入を進めました。そこですぐに明らかになったのは、既存の SIEM では、複雑なハイブリッド環境全体で発生するセキュリティイベントに対して必要なインサイトを提供できないという事実です。HP、IBM、LogRhythm などのサービスを検討した結果、同社はセキュリティ関連のアクティビティを一元的に可視化できる Splunk Cloud、Splunk Enterprise、Splunk ES を選びました。

セキュリティをゼロから構築Travis Perkins 社は Splunk ES の導入がもたらす機会を活用して、セキュリティチームだけでなく IT 部門全員のセキュリティ意識を向上しました。IT 部門のメンバーに特定のダッシュボードとアラートへのアクセス権を付与したことで、これらのメンバーが潜在的な脅威への初期対応者として迅速な対応をとり、必要に応じて専任のセキュリティチームにエスカレーションできるようになっています。同社はその結果、通常であれば必要になる多大なリソースを注ぎ込むことなく、非常に効果的で無駄のないセキュリティ オペレーション センター (SOC) を構築できました。

脅威検出を自動化英国を拠点に置く 24,000 人の従業員が多種多様なデバイスを使用して企業データにアクセスしているため、Travis Perkins 社にとってサイバーセキュリティの大部分を自動化することは不可欠となりました。Splunk ES によって、同社は以前に相関分析を行った既存のセキュリティソリューションからのデータとアラートに基づいて、さまざまな脅威アクティビティのリスクスコアを計算できるようになっています。同社はフィッシングメールによる問題に直面しているため、Splunk プラットフォームでの相関サーチによって感染クライアントが検出されると、自動的にアラートが生成されます。続いて、事前に設定されたプレイブックの応答に従って関連するチームが対応します。Splunk ES のスイムレーンは、資産やユーザーを包括的に可視化することで、セキュリティインシデントの調査と解決に必要な時間を大幅に短縮するというわけです。詳細はこちら

12SIEM の購入者向けガイド

購入者向けガイド

脅威インテリジェンス分析主導型 SIEM は、2 種類の脅威インテリジェンスを提供する必要があります。1 つ目のインテリジェンスでは、侵害の痕跡、攻撃の手口や手法、手順についての最新情報を提供する脅威情報サービスとともに、さまざまなインシデントやアクティビティに関する追加のコンテキストを利用します。このインテリジェンスによって、アクティブなコマンド アンド コントロール サーバーとして知られる外部 IP アドレスへの接続の検出など、異常なアクティビティを簡単に認識できるようになります。このレベルの脅威インテリジェンスがあれば、アナリストは攻撃のリスク、影響、目的の分析評価に必要な情報を取得できます。このような情報は、適切な対応に優先順位を設定するうえで欠かせません。

2 つ目のインテリジェンスでは、資産の重要度、利用状況、接続、所有、そしてユーザーの役割、責任、雇用状況を評価します。このような追加のコンテキストは、インシデントのリスクや潜在的な影響の評価と分析において非常に重要です。たとえば、分析主導型 SIEM は、従業員の入退室情報を取り込んで VPN の認証ログとの相関分析を行い、会社ネットワーク内での従業員の所在地についてコンテキストを提供できる必要があります。さらに、より詳細な分析とオペレーショナルインテリジェンスを提供するためには、REST API を活用してワークフローアクションまたはスクリプト経由でシステムにインテリジェンスを取り入れる機能や、リレーショナルデータベースの構造化されたデータをマシンデータと組み合わせる機能も求められます。

脅威インテリジェンスデータをさまざまな IT インフラやアプリケーションから生成されたマシンデータと組み合わせて、侵害の早期検出の成功率が上昇するようにウォッチリスト、相関ルール、クエリを構築できれば理想的です。この情報をイベントデータと自動的に相関付けて、ダッシュボードビューとレポートに追加するか、ファイアウォールや侵害防止システムのようなデバイスに転送することで、該当する脆弱性を解消できるようになります。

SIEM のダッシュボードには、スキャンシステムの健全性チェック機能や脆弱性スキャンの対象外となったシステムの検出機能を含め、IT 環境にデプロイされた脆弱性検出製品のステータスとアクティビティを追跡する機能が必要です。

簡単に言うと、包括的な脅威インテリジェンスでは、あらゆる脅威リストに対応し、冗長性インテリジェンスを自動的に検出し、複数の脅威リストに掲載された脅威を検出して優先順位を設定し、さまざまな脅威に重み付けをしてビジネスに与える真のリスクを特定できる必要があります。

ロサンゼルス市は 40 以上の部門で共有するリアルタイムのセキュリティインテリジェンスを統合ロサンゼルス市は、そのデジタルインフラを保護するために、セキュリティ対策の状況を認識し、各部門と関係者に脅威インテリジェンスを提供する必要がありました。それまで、ロサンゼルス市の 40 以上の部門はセキュリティ対策を個別に実施していたため、データの統合と分析が困難だったのです。同市は、脅威の特定、優先順位付け、緩和、不審な行動の可視化、市全体のリスクの評価を実行できる拡張性の高い SaaS セキュリティ情報イベント管理ソリューションを探していました。Splunk Cloud と Splunk Enterprise Security を導入して以来、ロサンゼルス市は次のようなメリットを得られるようになりました。

• 市全体のセキュリティ オペレーション センター (SOC) を構築

• 脅威インテリジェンスをリアルタイムで取得• 運用コストを削減

状況をリアルタイムで認識ロサンゼルス市は、Splunk Cloud を使用してセキュリティ対策を包括的に可視化しています。ログやその他のデータは Splunk フォワーダーによって未加工のまま市の各部門から Splunk Cloud に送信されます。そこでデータを正規化してから統合された SOC に送り返し、Splunk ダッシュボードで分析および視覚化されるという仕組みです。

Splunk ES の簡単にカスタマイズできる事前構築済みのダッシュボードを使用して、幹部職員とアナリストは、市のネットワークインフラ全体のセキュリティイベントの状況をいつでもリアルタイムで認識できます。継続的に更新される 1 つのデータベースにすべてのセキュリティデータが格納されるため、この業務に携わる Lee 氏のチームは多種多様なログや構造化データと非構造化データの両方を含む、マシンから生成されるすべてのデータを表示して比較し、包括的で実用的なセキュリティインテリジェンスを抽出することが可能です。

タイムリーな脅威インテリジェンス統合された SOC は、情報の収集だけでなく提供も行います。この SOC は、Splunk Cloud から収集したデータをリアルタイムの脅威インテリジェンスに変換します。ロサンゼルス市はこのインテリジェンスを同市の各部門だけでなく FBI、国土安全保障省、シークレットサービスおよびその他の法執行機関などの関係者にも共有しています。同市はこの情報を基に連邦政府機関と協力し、リスクを特定してネットワークへの今後の侵入を防ぐための戦略を策定します。

Lee 氏は次のように語っています。「状況を把握できれば、自分たちの状況を理解できます。しかし、脅威インテリジェンスがあれば、敵についても知ることができるのです。現在は、統合された脅威インテリジェンスプログラムを運用しています。Splunk SIEM は、統合セキュリティ オペレーション センター (ISOC) にデプロイされている一元化された情報管理プラットフォームを構成する重要なソリューションの 1 つです」。詳細はこちら

13SIEM の購入者向けガイド

購入者向けガイド

高度な分析分析主導型 SIEM は、統計、記述的および処方的データマイニング、機械学習、シミュレーション、最適化などの洗練された定量的手法を導入することによって高度な分析を適用し、さらに多くの重要なインサイトを生み出すことができます。高度な分析手法には、異常検出、ピアグループのプロファイリング、実体関連モデルなどがあります。

同じくらい重要な要件として、分析主導型 SIEM には、分類されたイベントのキルチェーンに対するマッピングやインシデント調査をサポートするヒートマップの作成などによってデータの可視化と相関分析を実現するツールが用意されている必要があります。

これらすべてを可能にするためには、正常な行動と真のアノマリの違いを自己学習できる機械学習アルゴリズムを利用する SIEM プラットフォームへのアクセスが必要です。

このようなレベルの行動分析を使用すれば、予測モデルを構築して検証し、デプロイすることができます。さらには、他社ツールを使用して作成したモデルも SIEM プラットフォームに実装できるようになります。

Equinix 社は革新的なクラウドベースの SIEM 導入により実用的なセキュリティインテリジェンスを取得Equinix 社は、世界各地の主要企業を 5 大陸にまたがる 33 のマーケットの顧客、従業員、パートナーと結びつけています。世界各地の数千社の企業が同社のデータセンターと相互接続サービスを利用しているため、セキュリティは非常に重要です。同社は、セキュリティインフラ全体を統合的に俯瞰するために、一元的に可視化でき、SIEM 機能を備え、大規模な作業を行わなくても簡単かつ迅速に導入できるクラウドソリューションを必要としていました。Splunk Cloud と Splunk Enterprise Security (ES) を導入して以来、Equinix 社は次のようなメリットを得られるようになっています。

• 運用の包括的な可視化を実現• セキュリティ対策を強化• 時間とコストを節約

Splunk Cloud と Splunk Enterprise Security による包括的な可視性Splunk Cloud を導入するまで、Equinix 社では毎月 300 億件も発生する Raw セキュリティイベントに手を焼いていました。同社のセキュリティチームは、Splunk ES と Splunk Cloud を使用して 300 億件の Raw セキュリティイベントを約 12,000 件の相関関係のあるイベントと 20 件の実用的なアラートに削減し、実用的なセキュリティインテリジェンスと専門の SOC の基盤を提供できるようになったのです。

Splunk のプラットフォーム内にすべてのデータが集約されるため、セキュリティチームはシステム間のデータを相互に参照でき、その結果以前よりも 30% 早くインシデントを調査して対応できるようになっています。「当社の最終目標は、お客様、従業員、データを守ることです。ES と Splunk Cloud を SIEM プラットフォームとして使用することで、必要な情報をいつでも入手できます」と、Equinix 社 CISO の George Do 氏は語っています。

「インシデントの調査が必要になるたびに、Splunk ダッシュボードに関連するデータを表示するだけで、セキュリティチームと経営幹部の全員が情報にアクセスできます。時間と労力の節約効果は多大なもので、そのうえ従来のオンプレミスベースの SIEM をデプロイする場合と比べて総所有コスト (TCO) が 50% 削減されます」。

Splunk ES によって、Equinix 社は総合的なセキュリティ分析を利用できるようになりました。たとえば、現地採用の従業員が遠く離れた大陸から予期せずログインするなど、ユーザーアカウントに疑わしい活動の兆候が見られた場合、直ちに優先順位の高いアラートがトリガーされ、セキュリティチームに送信されます。また、Splunk Cloud と ES を使用することで、機密性の高いビジネス情報の漏えいを防止できます。特に管理者は相関分析により、退職する従業員が機密データを盗み出そうとしている可能性がないかを判断できます。 詳細はこちら

14SIEM の購入者向けガイド

購入者向けガイド

SAIC 社が可視性と脅威検出機能を獲得SAIC (Science Applications International Corp) 社は、技術、エンジニアリング、エンタープライズの情報市場を専門に扱う有力なテクノロジーインテグレーターです。科学研究、プログラム管理、IT サービスなどの領域の専門知識を活用し、SAIC 社は利益の大半を米国政府から得ています。同社は、サイバー攻撃を防ぐために、堅牢なセキュリティ オペレーション センター (SOC) とコンピューターインシデント対応チーム (CIRT) を構築する必要がありました。Splunk のプラットフォームをデプロイして以来、Autodesk 社は次のようなメリットを得られるようになりました。

• セキュリティ体制の強化と運用成熟度の向上• インシデントの検出と修復にかかる時間を 80% 以上削減• 企業環境全体の包括的な可視化

Splunk が選ばれた理由2013 年に元の SAIC 社が組織の利害対立を避けるために 2 つの企業に分割された後、同社は新しいセキュリティプログラムの一環として SOC を構築する必要がありました。SAIC 社は必要なセキュリティツールのほとんどを保有してはいたものの、防御を固めるための SIEM ソリューションが欠けていました。セキュリティ調査用の中心的ツールとして元の SAIC 社が使用していた従来の SIEM には限界があったため、SAIC 社は従来の SIEM を Splunk Enterprise で補完し、相関サーチによるインシデント検出やインシデント調査のためのプラットフォームとして使用しました。同社の IT 運用担当者は現在、ネットワーク監視、パフォーマンス管理、アプリケーション分析、レポート作成にも Splunk のソリューションを使用しています。

新しい SOC の構築を開始した SAIC 社は、SIEM をはじめとするすべてのニーズに応える単一のセキュリティ インテリジェンス プラットフォームとして Splunk を使用することにしました。そしてインシデントの検出と調査に加え、継続的な監視、アラート、分析のレポートなどのニーズにも対応しています。

環境全体を完全に可視化し、脅威を検出SAIC 社は今、Splunk ソフトウェアを使用して環境内の脅威を監視しています。SOC のアナリストは、カスタムの Splunk ダッシュボードで異常行動や不正な行動を示すアラートや兆候を監視しており、既知のシグネチャベースの脅威 (IDS やマルウェアソリューションに記録された脅威など) や未知の脅威 (特権アカウントの異常な行動など) を迅速に認識できるようになっています。

従来の SIEM は通常、柔軟性に欠ける内蔵サーチを使用して検索を行うため、高度な脅威を検出できず大量の誤検知が発生します。Splunk プラットフォームにより、SAIC 社のアナリストは同社に特有の脅威や侵害の痕跡を検出できる精度の高い相関サーチを新たに構築しており、高いレベルでリスクを測定して管理することができます。CISO を含む経営陣は、傾向、発信元の場所の集計、新たに検出された侵害の痕跡など、脅威アクティビティに関連する主要なメトリクスを確認できるようになりました。詳細はこちら

高度な脅威検出セキュリティ上の脅威は進化を続けています。分析主導型 SIEM は、ネットワークセキュリティの監視、エンドポイントでの検出と対応のサンドボックス化、行動分析を組み合わせることで新たに出現した高度な脅威に対応し、新しい潜在的な脅威を検出して隔離することができます。ほとんどのファイアウォールや侵入防止システムは、単独ではそのような機能を提供できません。

脅威の検出だけでなく、特定の高度な脅威が初回検出後にどこに移動したのか、この脅威をどのように封じ込めるべきか、どのように情報を共有すべきかを判断することにより、これらの脅威の範囲を特定することも目的とすべきです。

15SIEM の購入者向けガイド

購入者向けガイド

分析主導型 SIEM に欠かせない 6 つの機能について理解を深めたところで、分析主導型 SIEM ソリューションを構成する技術に深く踏み込み、最新の SIEM が旧来の SIEM、オープンソースの SIEM、さらには新規参入した UBA ベンダーなどの SIEM とどのように違うのかを、さらに詳しく見ていきます。

SIEM 市場について調査している方は、ガートナー社が毎年発表するマジック・クアドラントのセキュリティ情報およびイベント管理のレポートを一読されることをお勧めします。このレポートは進化を続け、オープンソースの SIEM ベンダーや、UEBA ベンダーなどの新しいテクノロジーも対象に含まれるようになりました。

同社は補足的な SIEM レポートも公開しており、別の調査ノートでは、Splunk が提供するソリューションを含む最新の SIEM を他のカテゴリーから差別化する 9 つの技術的機能について説明しています。

3. 最新の SIEM が備える 9 つの技術的機能

!!

!!

!

!

16SIEM の購入者向けガイド

購入者向けガイド

最新の SIEM を他のカテゴリーから差別化する 9 つの技術的機能

Splunk 旧来の SIEM

オープンソース

新規 参入者

1. ログとイベントの収集 あり あり あり あり

2. リアルタイムでの相関ルールの適用 あり あり 自社開発 あり

3. 高度な分析と機械学習のリアルタイムでの適用 あり 限定的 自社開発 あり

4. 長期的な履歴分析と機械学習 あり 限定的 自社開発 限定的

5. イベントの長期的な保存 あり 限定的 あり 限定的

6. 正規化されたデータに対するサーチとレポート作成 あり あり あり あり

7. Raw データに対するサーチとレポート作成 あり 複雑 あり 複雑

8. コンテキストデータの取り込みによる 追加の相関付けと分析

あり 限定的 あり 限定的

9 セキュリティ以外のユースケースへの対応 あり なし 自社開発 なし

1. ログとイベントの収集分析主導型 SIEM ソリューションは、すべてのイベントログを収集、使用、分析して、リアルタイムで一元的に可視化できる必要があります。これにより IT チームとセキュリティチームは、イベントログを 1 か所で集中管理し、複数のマシンまたは複数日にわたるさまざまなイベントの相関分析を行い、レジストリの変更や ISA のプロキシログなどその他のデータソースと紐付けて、全体像を把握できるのです。さらにセキュリティ担当者は、1 か所ですべてのイベントログを監査し、レポートを作成できます。

2. リアルタイムでの相関ルールの適用イベントの相関分析は、大量のセキュリティイベントを把握してから、複数のイベントを関連付けてインサイトを獲得し、真に意味あるものに絞り込んで集中するための手段となります。

3. 高度な分析と機械学習のリアルタイムでの適用と、(4.) 長期的な履歴分析と機械学習

SIEM のコンテキストでは、基本的な分析が、データに隠れているインサイトからパターンを解き明かします。これにより、セキュリティアナリストは、調査を深掘りし、脅威が発生する前に検出したり、インシデントフォレンジックを実行したりできるのです。

最近の Forrester 社の調査によると、グローバル企業のセキュリティ技術に携わる意思決定者の 74% が、セキュリティ監視の強化を優先度が高いか非常に高い項目だと評価しています。ベンダーは既存ソリューションへのセキュリティ分析機能の追加を進めており、新規ベンダーは旧来のソリューションにとらわれることなく最新技術を取り入れたセキュリティ分析ソリューションの開発を進めているところです。

機械学習 (ML) によってデータ分析がさらに高度になります。ML によって、組織は分析主導型 SIEM ソリューションで予測分析を使用できるようになり、履歴データがこの分析をさらにスマートなものにします。これによりセキュリティ担当者は、インシデントの検出や攻撃の予測、さらには攻撃の阻止などさえも可能になるのです。

5. イベントの長期的な保存分析主導型 SIEM ソリューションは、長期間にわたって履歴ログデータを保存する機能を備えています。これにより、データの時系列の相関分析を行うとともに、コンプライアンス義務を遵守することができるのです。

また、特にセキュリティに関しては、マシンデータが長期的に保存されることで、セキュリティアナリストがセキュリティフォレンジックを実行してネットワーク侵害の攻撃経路を遡ることなどが可能になります。

17SIEM の購入者向けガイド

購入者向けガイド

6. 正規化されたデータに対するサーチとレポート作成

SIEM でのサーチとレポート作成では、データのサーチ、データモデルとピボットの作成、サーチとピボットのレポート保存、アラートの設定、ダッシュボードの作成とその後の共有などができます。

7. Raw データに対するサーチとレポート作成SIEM での Raw データのサーチとレポート作成では、さまざまなソースからデータを収集し、分析主導型 SIEM ソリューションで一元化します。分析主導型 SIEM ソリューションは、旧来のシステムと違い、ほぼすべてのデータソースから Raw データを取り込むことが可能です。データは実用的なインテリジェンスに変換され、さらにはわかりやすいレポートに形を変え、SIEM プラットフォームから該当者に直接送信されます。

8. コンテキストデータの取り込みによる追加の相関付けと分析

分析主導型 SIEM ソリューションがデータを収集した後で、ユーザーがこのデータの意味とそれに対して何をすべきかを把握するためには、追加のコンテキストが必要になります。真の脅威を誤ったアラートから区別し、真の脅威を効果的に検出して対応することを可能にするには、この情報が不可欠です。

分析主導型 SIEM ソリューションは、外部の脅威インテリジェンス、社内 IT の運用、イベントパターンにコンテキストを追加できます。これにより、ユーザーはさらにドリルダウンして、リアルタイムで脅威に対応できるのです。

9. セキュリティ以外のユースケースへの対応その他に分析主導型 SIEM ソリューションが旧来の SIEM ソリューションと違う点として、IT 運用などのセキュリティに関連しないユースケースを含む複数のユースケースに使用できることがあります。

18SIEM の購入者向けガイド

購入者向けガイド

マシン生成データは、ビッグデータの中でも最も急速に増加している複雑なデータの 1 つです。また、あらゆるユーザートランザクション、顧客の行動、マシンの挙動、セキュリティ上の脅威、不正行為などの確実な記録が含まれている、最も価値の高いデータでもあります。Splunk は、業種を問わずにお客様のマシンデータを価値あるインサイトに変換します。当社ではこれをオペレーショナルインテリジェンスと呼んでいます。

Splunk Enterprise は、あらゆるデータソースから収集したマシンデータを監視、分析してオペレーショナルインテリジェンスを提供することで、IT、セキュリティ、ビジネスパフォーマンスを最適化します。直感的な分析機能、機械学習、パッケージアプリケーション、オープン API を搭載した Splunk Enterprise は、焦点を絞ったユースケースから企業全体での分析基盤にまで拡大できる柔軟なプラットフォームです。Splunk Enterprise：

• あらゆるデータソースからログやマシンデータを収集してインデックスを作成

• 高度なサーチ、分析、可視化機能を組織全体に提供

• Splunkbase App の広範なエコシステムが、セキュリティ、IT 運用、ビジネス分析などのソリューションを提供

• オンプレミスでもクラウドサービスでも使用可能

4. Splunk の導入

!!

!!

!

!

19SIEM の購入者向けガイド

購入者向けガイド

アプリケーション配布

IT 運用

セキュリティ、コンプライアンス、不正行為

ビジネスアナリティクス

産業データとモノのインターネット

あらゆる質問に対応

オンプレミス コンテナ

サービス

サーバー

ストレージ

デスクトップ

セキュリティ

Web サービス

ネットワーク

ファイアウォールRFID

メッセージング

パッケージアプリケーション

カスタムアプリケーション

エネルギーメーター

データベースコール詳細記録

GPS 測位

侵入防止テレコム

スマートカー

配車システム

医療サービス輸送

オンラインサービス

オンライン ショッピング カート

Web クリックストリーム

スマートフォンとデバイス

プライベートクラウド

パブリッククラウド

未活用のデータをインデックス化：あらゆるデータソース、種類、量

マシンデータをビジネス価値に変換

オペレーショナルインテリジェンスを活用して、すべての IT システムと技術インフラの状況をリアルタイムに把握し、情報に基づく意思決定をしましょう。Splunk のすべての製品、プレミアムソリューション、App とアドオンの基盤となる Splunk プラットフォームがその実現を後押しします。

SIEM としての SplunkSplunk のセキュリティソリューションは、今日の SIEM に求められる新しい基準に適合するだけでなく、状況を可視化して有益なインサイトをもたらすセキュリティ分析機能を備えています。セキュリティチームはこれを利用して、セキュリティ上の意思決定をより短時間で的確に行えるようになります。

Splunk は、SIEM を導入する場合や旧来の SIEM からの移行を検討中の企業に向けて、オンプレミス、クラウド、ハイブリッドのデプロイメントオプションを用意しています。

Splunk Enterprise または Splunk Cloud を利用すれば、企業の基本的な SIEM ユースケースに対応することができます。Splunk の主力プラットフォームである Splunk Enterprise と Splunk Cloud は、データ収集、インデックス作成、サーチ、およびレポート作成の機能、または CLM を備えています。Splunk のセキュリティソリューションを利用しているお客様は、Splunk Enterprise または Splunk Cloud を導入して、基本的な SIEM 要件を満たす独自のリアルタイム相関サーチやダッシュボードを構築しています。

Splunk は、すぐに使えるダッシュボード、相関サーチ、レポート作成機能を備えた、SIEM の高度なユースケースにも対応するプレミアムソリューション、Splunk Enterprise Security (ES) も提供しています。Splunk ES は、Splunk Enterprise または Splunk Cloud のどちらか一方、またはその両方を基盤として動作します。Splunk ES には、あら

かじめ組み込まれた相関ルールとアラートに加えて、調査力を高めるインシデントレビュー、ワークフロー機能、サードパーティーの脅威インテリジェンスフィードが含まれています。さらに、Splunkbase には 300 を超えるセキュリティ関連のアプリケーションがあり、特定のサードパーティー セキュリティ ベンダー向けに構築された検索、レポート、可視化機能を利用できます。すぐに使えるこれらのアプリケーション、ユーティリティ、アドオンを利用すれば、セキュリティの監視、次世代ファイアウォール、高度な脅威管理などのさまざまなセキュリティ機能を展開することができます。Splunk、Splunk パートナー、その他のサードパーティープロバイダーから提供されるこれらの製品によってセキュリティの範囲が広がります。

Splunk ES は、分析主導型 SIEM でもあり、5 つのフレームワークから構成されています。これらを単独で利用すると、コンプライアンス、アプリケーションセキュリティ、インシデント管理、高度な脅威検出、リアルタイム監視など、セキュリティに関するさまざまなユースケースに対応できます。分析主導型 SIEM プラットフォームは、単一のセキュリティ分析ソリューションに機械学習、アノマリ検出、基準ベースの相関分析を組み合わせています。

Splunk ES により、時間の経過に伴うイベントを相関分析して可視化することで、多段階攻撃の詳細を伝えることができます。

また、このプラットフォームにより、ビジネス関連のあらゆるセキュリティ関連データから、脅威や攻撃などの異常なアクティビティをリアルタイムに検出、監視し、レポートを作成することも可能になります。高度な分析により、セキュリティエコシステム全体で脅威の検出とインシデント対応を高速化できるのです。

20SIEM の購入者向けガイド

購入者向けガイド

Splunk ES は、より広範なセキュリティポートフォリオの一部であり、Splunk Enterprise に CLM を、Splunk User Behavior Analytics (UBA) に UBA 機能を提供します。

Splunk ソリューションが SIEM として機能する理由

• Splunk ソフトウェアを使用し、小規模から大規模まであらゆる規模のセキュリティ オペレーション センター (SOC) を運営可能

• 情報セキュリティオペレーションの全面サポート：セキュリティ体制の評価、監視、アラートとインシデントへの対応、CSIRT、侵害の分析と対応、イベント相関など

• SIEM およびセキュリティ ユース ケースの容易な導入 • 既知および未知の脅威の検出、脅威の調査、コンプライアンスの判定、高度なセキュリティ分析に基づく詳細なインサイトの取得

• ビッグデータに基づく、実績ある統合セキュリティ インテリジェンス プラットフォーム

• アドホックサーチを使用した高度な侵害分析 • オンプレミス、クラウド、オンプレミス/クラウドのハイブリッドというデプロイメントオプション

Splunk UBASplunk UBA では機械学習を利用し、ユーザー、エンドポイントデバイス、アプリケーションから未知の脅威や異常な行動を検出するために組織が必要とする答えを導き出すことができます。外部からの攻撃だけでなく、内部脅威もカバーします。機械学習アルゴリズムが、リスクの評価や裏付けとなる証拠を含む実用的な分析結果を提供します。セキュリティ オペレーション センター (SOC) のアナリストは、その結果と既存の分析機能を組み合わせることで、より迅速な対応が可能となります。さらに、セキュリティアナリストや脅威調査担当者に見やすい分析手段を提供することで、異常な行動をプロアクティブに調査できるようにします。

Splunk UBA の概要：• 教師なしアルゴリズムを利用する、特定の用途に特化した構成可能で行動重視の機械学習フレームワークを使用することで、検出フットプリントを拡張

• 数百種類ものアノマリを 1 つの脅威に自動的に関連付けることで、SOC アナリストのために UEBA 機能を強化

• 攻撃の複数のフェーズにわたって脅威を可視化することで、コンテキストを強化

• Splunk Enterprise との双方向の統合によってデータの取り込みと相関付けを実現し、Splunk Enterprise Security との統合によってインシデントのスコーピング、調査、自動対応を実現

InfoTeK 社と Splunk、公共機関向けのセキュリティ インテリジェンス プラットフォームを確立多くの組織は、セキュリティ上の脅威を監視、調査して対応するために SIEM ソフトウェアを利用しています。ところが、ある米国政府機関では、HP ArcSight の従来の SIEM ソフトウェアが期待に応えられず、ミッションの妨げになっていました。同機関は、サイバーセキュリティ、ソフトウェア、システムエンジニアリングを扱う大手企業である InfoTeK 社に相談し、SIEM ツールを切り替えることにしました。Splunk のプラットフォームをデプロイして以来、同機関は次のメリットを得られました。

• 週末にデプロイを完了し、翌日には攻撃を阻止

• 75% のコスト削減を達成し、SIEM をサポート

• ログ集計機能やエンドポイントソリューションを含め、必要なツール数を削減

Splunk Enterprise と Splunk ES は同機関に分析主導型 SIEM をもたらし、実用可能なセキュリティインテリジェンスを IT 部門に低コストで提供できるようになりました。InfoTeK 社は、一度の週末で Splunk ソフトウェアをデプロイし、翌日からこのソフトウェアはその価値を証明しています。IT 部門は、セキュリティイベントをサーチし、即時に攻撃ベクトルを阻止できたのです。

InfoTeK 社の上級インシデントハンドラー兼セキュリティエンジニアの Jonathan Fair 氏は、次のように語っています。「他の製品を使ったり複数ツールを行き来したりすると数時間、数日、時には数週間もかかっていたことが、Splunk を使えばわずか数秒、数分、数時間で完了します。製品を完全に購入する前に、ROI を達成できました。お客様が脅威の阻止に成功したのです。侵害が成功していたら、ネットワークをゼロから構築し直す必要があったでしょう」。詳細はこちら

こちらをクリックして、InfoTek 社がどのように SIEM のコストを 75% 削減したのかをご確認ください。

21SIEM の購入者向けガイド

購入者向けガイド

Heartland Automotive 社、Splunk プラットフォームでブランドの評判を守り、データを保護Heartland Automotive Services 社 (商号「Jiffy Lube」) は、主力サービスのオイル交換で有名であり、クイックルブ小売サービスストアのフランチャイズとして米国最大です。同社は、ブランドと最重要リソースであるデータを保護するために、サイバーセキュリティプラットフォームを求めていました。Splunk ES と Splunk UBA を SIEM プラットフォームの一部としてデプロイして以来、Heartland Automotive 社は次のようなメリットを得られるようになりました。

• SIEM と内部脅威対策ソリューションをわずか 3 週間で導入し、短期間で成果を達成

• イノベーションを促進し、TCO を 25% 削減できるプラットフォームを獲得

• リアルタイムでのセキュリティ調査と内部脅威対策を実現

多くの場合、SIEM の導入は非常に複雑です。大規模な組織には大量のデータソースがあり、アラートの設定に数週間もかかる場合があるためです。Alams 氏によると、Splunk プロフェッショナル サービス チームは、データソースの特定、SIEM 設計の具体化、アラートのシームレスな設計というプロセス全体を構築しました。

Heartland Automotive Services 社の IT および情報セキュリティ責任者である Chidi Alams 氏は、次のように語っています。「短期間で価値を実現できることがすべてです。当社は、わずか 3 週間で SIEM と内部脅威検出ソリューションを導入できました。通常なら 3 カ月かかったことでしょう。CFO をはじめとする経営陣は、短期間で価値が実現することに感銘を受けています。今日見たら明日には導入がほぼ完了することは、私たちが迅速なサービスを提供するという信頼を高めてくれます」。 詳細はこちら

監視レポート

事前に 定義されたビューとルール

検出アラート

相関ルール、 しきい値

分析調査

分析調査およびコンテキスト 補強

対応 コラボレーション

企業全体での 調整および対応

SIEMセキュリティ運用

管理アラート、および インシデント管理、

ポリシーベースのルール、すぐに使えるセキュリティルールと分析機能

こちらをクリックして、Heartland Automotive 社が Splunk によってどのようにイノベーションを促進し、TCO を 25% 削減したのかをご確認ください。

米国政府の閣僚レベルの省庁が従来のソフトウェアのメンテナンスコストを 900,000 ドル削減 国民が政府機関に求めることは、血税を賢明に使うだけではなく、回復力のある運用を実現してサービスを効果的に提供できるようにあらゆる努力を払うことです。米国のある閣僚レベルの大規模な省庁では、以前は HP ArcSight を使用していましたが、低速でコストのかかる SIEM ツールであったため、同庁のニーズに対応しきれませんでした。セキュリティとコンプライアンスを確保するために Splunk Enterprise に切り替えてからは、その省庁ではいくつものメリットを実感しています。

• ソフトウェア メンテナンス コストを年間 900,000 ドル削減

• セキュリティの検出、対応、修復を強化

• セキュリティの調査時間を数時間から数分に短縮

プロアクティブなセキュリティアプローチSIEM ツールに関わる Margulies 氏は、チームとともに部門の SOC をサポートしています。この SOC には、Splunk Enterprise を使用してセキュリティインシデントを調査する 40 人のアナリストに加え、トラブルシューティングとレポート作成にソフトウェアを利用する大規模な IT チームが在籍しています。追加のユーザーには、部門がセキュリティ規制に準拠していることを確認する必要があるスタッフが含まれます。

© 2018 Splunk Inc. 無断複写・転載を禁じます。Splunk、Splunk>、Listen to Your Data、マシンデータ向けのエンジン「the Engine for Machine Data」、Splunk Cloud、Splunk Light および SPL は、Splunk Inc. の米国およびその他の国における商標または登録商標です。他のすべてのブランド名、製品名、 もしくは商標は、それぞれの所有者に帰属します。 WP-Splunk-SIEM-Buyers-Guide-JA-201806

Splunk の分析主導型 SIEM ソリューションの概要や、このソリューションを使用して組織のセキュリティ体制を強化する方法にご関心をお持ちでしょうか？今すぐ Splunk のエキスパートまでご相談ください。

購入者向けガイド

www.splunk.com/ja_jpsplunkjp@splunk.com

詳細はこちら：www.splunk.com/ja_jp/talk-to-sales.html〒100-0004 千代田区大手町1-1-1 大手町パークビルディング 8階

SIEM の未来SIEM を牽引する基盤のテクノロジーは旧来のものだとしても、すべての SIEM が古臭いテクノロジーということではありません。

実際、このガイドで説明してきたように、SIEM といってもさまざまなものが存在します。このことは、旧来の SIEM ソリューションと最新の分析主導型ソリューションの違いを理解すると一番よくわかります。

分析主導型 SIEM こそ、市場の未来を明るく照らす光なのです。このような最新のセキュリティソリューションは、脅威検出、修復、アラート、コンプライアンスレポートに役立つうえ、明らかな ROI をもたらしてくれます。

最新の脅威の状況が刻々と変化を続ける中で、分析主導型 SIEM ソリューションは、これらの脅威に適応し、その先を行くことができると証明されているのです。

Splunk の ROI ストーリー分析主導型 SIEM ソリューションは、高価な投資として非難されることが多いのですが、実際のところ、費用は見る人によって異なります。

組織が内部脅威者の攻撃で被害を受けた後では、分析主導型セキュリティソリューションはどれくらい高価に感じるでしょうか。あるいは、ランサムウェア攻撃が大きく報じられた後ではどうでしょうか。

つまり、侵害を受けることなく、内部脅威者と外部の悪質なユーザーの両方から組織をプロアクティブに保護できるということは、投資利益率 (ROI) に直結するのです。

さらに、SIEM のもたらす ROI はこれだけではありません。

分析主導型 SIEM ソリューションは、コンプライアンス、不正行為、データの盗難や悪用の検出、IT 運用、サービスインテリジェンス、アプリケーション配信、ビジネス分析などの一般的な IT ユースケースを広くサポートします。

セキュリティチームは他の IT チームと連携して作業するため、組織全体を通して他のユースケースの結果が 1 つの画面にまとめて表示されれば、部門間のコラボレーションや ROI の向上に役立ちます。

分析主導型 SIEM ソリューションがもたらす真の ROI を理解する最適な方法は、既に導入した経験者から話を聞くことなのです。