予算・リソース不足の企業はここから始めよ Splunk導入のロードマップとは：Splunk.conf23現地レポート

予算やリソース不足の企業がセキュリティ対策を講じる際、どの製品をどのような順番で入れるべきかは悩ましい問題だ。Splunk導入のロードマップを紹介しよう。

[田渕聖人，ITmedia]

　Splunkは2023年7月17日〜20日（現地時間）、米国ネバダ州ラスベガスでオフラインイベント「Splunk.conf23」を開催中だ。基調講演と製品関連の基調講演の内容については別記事で紹介した。

　本稿では、TwinWave Securityの元CEO（最高経営責任者）であり、現SplunkのSenior Vice President and General Manager of Securityを務めるマイク・ホーン氏へのインタビューから、サイバー脅威の現状と企業が今取るべきセキュリティ対策、Splunk製品の導入する際の優先順位を探る。

クレデンシャル情報からOT機器まで、幅広い領域でサイバー攻撃が激化

　サイバー脅威は常に変化している。ランサムウェアやクレデンシャル情報を窃取するフィッシング攻撃、さらにソフトウェアサプライチェーンを狙ったサイバー攻撃も激しくなっている。ソフトウェアサプライチェーン攻撃でいうと、SolarWinds製品や「Apache Log4j」の脆弱（ぜいじゃく）性を悪用したものが大きな話題を集めた。最近では、ファイル転送ソリューション「MOVEit Transfer」にも脆弱性が見つかり、これを使ったランサムウェア攻撃によって多くの企業が被害を受けている。

　マイク氏は「ソフトウェアサプライチェーン攻撃は顧客にとって非常に大きな懸念事項だが、これを警戒しているだけでは不十分だろう。サイバー攻撃の大半は、クレデンシャル情報を狙ったフィッシングなどの攻撃がメインであり、マルウェアによるものはわずかだと考えている」と話す。

　サイバー攻撃者はクレデンシャル情報を窃取して本人になりすまし（アカウントテイクオーバー）、システムに侵入するとそこで攻撃の足場を整える。そこから権限を昇格させて、脅威を横展開（ラテラルムーブメント）して最終的には組織の機密情報を窃取する。

　セキュリティ担当者はこれらの脅威にも対処しつつ、最近ではOT領域のセキュリティ対策についても目を向ける必要が出てきている。2022年にはトヨタ自動車の系列子会社がランサムウェア攻撃に遭い、トヨタ自動車の日本国内の全工場が停止するなどの損害が出たことは記憶に新しいだろう。

MLを駆使してクレデンシャル情報を狙うフィッシング攻撃を識別

　激化するサイバー攻撃に対し、Splunkはどのようなソリューションを提供しているのか。

　今回のSplunk.conf23で発表された新しいソリューションとしては、次世代脅威分析プラットフォーム「Splunk Attack Analyzer」（以下、Attack Analyzer）がある。マルウェアやクレデンシャル情報を狙ったフィッシングなどの分析プロセスを自動化し、攻撃手法を解析する。

　Attack Analyzerには、Splunkが2022年に買収したTwinWave Securityの脅威分析ソリューション「TwinWave」のコア技術が使用されている。具体的にはJavaScriptを使ったWebページのスキャンや機械学習（ML）によるテキスト解析によって、クレデンシャル情報を狙ったフィッシング攻撃などの悪意のあるアクションを自動で識別する。

　もう一つ注目すべきなのが「Splunk Mission Control」（以下、Mission Control）だ。SIEM（Security Information and Event Management）ソリューション「Splunk Enterprise Security」とSOAR（Security Orchestration, Automation and Response）ソリューション「Splunk SOAR」、リスクスコアやセキュリティイベントの検出、対応の優先順位付けなどのインテリジェンスを提供する「Splunk Threat Intelligence Management」を導入していれば、それらの状況を単一のビューで確認できるようになる。これによって、脅威の検出から調査、対応までを1つのプラットフォームで完結できる。

Mission Controlは複数のセキュリティインサイトを単一のビューで確認できる（出典：製品に関する基調講演のスライドから抜粋）

　「Mission ControlとSplunk SOARを組み合わせれば、ユーザーの隔離やIPアドレスのブロック、ユーザーアカウントの無効化といった対策を自動で実施できる」（マイク氏）

　Splunk Enterprise Securityについては、現在はプレビュー版のみの提供だが、MLとデータレイクを駆使した、より高度な脅威検出機能も今後実装される。Splunk Enterprise Securityのアドオンとして「OT Security Add-on for Splunk」も提供している。これを利用することでIT／OT環境でIT資産やネットワーク、施設を運用している企業は、Splunk Enterprise Securityでの脅威検出からインシデント調査、対処までのプロセスを改善できる。

　また、Splunk SOARには複雑なプレイブックを自動で実行できる「ロジックループ」機能が実装される予定だ。

　その他、マイク氏は「OT領域のセキュリティ確保に向けては、OT領域のデータを取得して可視化する物理デバイス『Splunk Edge Hub』（以下、Edge Hub）が有効だ。Edge HubはセンサーやIoT機器、モバイル機器などから生成される温度や湿度、振動や音といった幅広いデータを取得して『Splunk』に取り込める。将来的にはこれを基に、セキュリティの観点からデータを収集・活用できるようにする構想もある。それにはOT領域のセキュリティを担うパートナー企業との協力が必要不可欠だ」と語る。

　「クラウドセキュリティの強化についてはAmazon Web Services、アイデンティティー向けの強化についてはOktaといった企業とパートナーシップを結んでいる。その他にも多くのセキュリティ企業とパートナーシップを締結してエコシステムを構築している。クラウドサービスのデータをSplunkのソリューションによって収集して一元管理し、分析することで新たなインサイトを獲得できる」（マイク氏）

予算やリソースが足りない企業は何を導入すればいい？

　しかし、予算やリソースとの兼ね合いからこれら全ての製品を導入するのを困難に感じる企業も多いことだろう。導入する場合はまず何から始めればいいのか。

　マイク氏は「予算に限りがある場合、まずはコアである『Splunk Platform』を導入してほしい。そこからフレームワークやライブラリ、データジャーニーなどセキュリティ体制構築に必要な機能を備えた『Splunk Security Essentials』といった無償のアドオンを追加する。セキュリティ対策の第一歩としては十分に機能するはずだ。次のステップとしてはSplunk SOARを導入し、セキュリティ対策に必要なアクションを自動化する。最後にAttack Analyzerだ。顧客のセキュリティ状況によってはこれらの導入の順番を入れ替えてもいいかもしれない。全てを導入していれば、Mission Controlを入れて一元管理すべきだ」と述べる。

　同氏によると、セキュリティリソースが不足している場合、これらとは別に生成AI（人工知能）が組み込まれた製品の利用を検討するのもいいという。生成AIはセキュリティ担当者の知識が豊富ではないとしても、そのアクションを支援する。その他、調査時間の短縮に役立ったり、複数のデータをまとめて一つのインサイトやストーリーを導き出したりするのにも適している。

　「ただし生成AIにはハルシネーションといった問題も起きる。そのため最終的な意思決定は人間が下すべきだろう。他にも、企業ごとのセキュリティ対策に即した訓練データを用意して独自モデルを構築することも今後の課題だ」（マイク氏）

Splunkのマイク・ホーン氏（出典：筆者撮影）

　マイク氏は最後に、日本企業に向けて「パッチ適用をはじめとした脆弱性管理は非常に重要だ。また、ユーザーがフィッシング攻撃を疑えるように十分なトレーニングを実施すべきだろう。現在、日本企業向けのセキュリティ教育プログラムも準備している」と語った。

　「エンドポイントからクラウドまで、システム全体のセキュリティが万全になるように技術を適切に配置することを意識してほしい。何かが起きてから対処するのではなく、攻撃対象領域（アタックサーフェス）を把握して予防的な対策を講じるべきだ。『セキュリティはチームスポーツ』だと考え、従業員一丸となって対策を進めてほしい」（マイク氏）

（取材協力：Splunk Japan）