SOCチームの業務に変革を Splunkのセキュリティ製品最新アップデート総まとめ：.conf24現地レポート（1/2 ページ）

Splunkはラスベガスで開催中の大規模カンファレンス「.conf24」で、SOCチームの業務を変革する複数の新製品および製品アップデートを公開した。本稿は現地から最新情報をお届けする。

[田渕聖人，ITmedia]

会場には毎年、SplunkのマスコットキャラクターであるポニーのButtercupのオブジェが設置されている（出典：筆者撮影）

　Splunkは2024年6月11〜14日（現地時間）、米国ネバダ州ラスベガスで大規模カンファレンス「.conf24」を開催している。

　前回はCiscoのチャック・ロビンス氏（会長　兼　CEO）とSplunkのゲーリー・スティール氏（CiscoのGo-to-Market担当プレジデントおよびSplunkゼネラルマネジャー）のトップ2人が買収の影響を語った基調講演の様子をレポートした。

　2024年6月12日（現地時間）の基調講演ではSplunkで製品・技術担当シニアバイスプレジデントを務めるトム・ケイシー氏を中心にSplunk製品に関する複数の情報アップデートが公開された。本稿ではその内容をまとめて紹介する。

CiscoとSplunkの連携でSOCチームのオペレーションはどう変化するのか？

　ランサムウェアをはじめとしたサイバー攻撃が激化する今、脅威に対抗するためには自社環境におけるデジタルレジリエンス（回復力）の強化が求められる。これを実現するにはネットワークやエンドポイント、利用中のクラウドサービスなどに存在するデータを効率良く一元化して全体像を捉え、深い可観測性を確保する必要がある。

Splunkのトム・ケイシー氏

　Splunkの製品ビジョンは上記の実現の支援を目的に3つの柱で設計されている。1つ目は「適切なデータへのアクセス」、2つ目は「適切なアナリティクス」、3つ目は「適切なアクションの促進」だ。ケイシー氏によると、この方針はCisco Systems（以下、Cisco）との連携によってより強化されるという。「Ciscoと組むことで組織のデジタルレジリエンスに革命が起きる」（ケイシー氏）

Splunkの製品ビジョン3つの柱（出典：Splunk発表資料）

　では具体的にはCiscoとどのように連携するのか。Ciscoのセキュリティおよびコラボレーション担当エグゼクティブバイスプレジデント兼ゼネラルマネジャーであるジートゥ・パテル氏が登壇し、その詳細を語った。

Ciscoのジートゥ・パテル氏

　パテル氏は「サイバー攻撃者はシステムに侵入し、ネットワーク内で脅威の横展開（ラテラルムーブメント）を実行する。この横方向の移動を阻止するにはSplunkプラットフォームによって環境を可視化することが有効だ。この機能を強化するために当社とSplunkは密接に連携する必要がある」と話した。

　そこで今回新たに発表されたのが、脅威インテリジェンスサービス「Cisco Talos」（以下、Talos）とSplunk製品の連携だ。1日当たり約5500億のセキュリティイベントを処理するTalosの脅威インテリジェンス情報を「Splunk Enterprise Security」（以下、Splunk ES）「Splunk SOAR」「Splunk Attack Analyzer」で無償で利用できる。この連携は近日中に開始する予定だ。

　「Splunkのセキュリティ製品のユーザーは、Talosの脅威インテリジェンス情報を活用することで新たな脅威に関するデータをより効果的に処理および分析できるようになる。これによってSOCチームなどは調査時間を大幅に短縮できる」（パテル氏）

　Talosとの連携についてはこちらの記事でも紹介している。

データ連携におけるゲームチェンジャーとなる機能を発表

　次に発表されたのが、Splunkプラットフォーム内で利用できる新しい統合データ取り込み機能「Splunk Unified Data Ingestion」だ。Splunkは同社のポートフォリオの全面的な統合を進めているが、同機能はその中で大きな役割を果たす。

Splunk Unified Data Ingestionについて（出典：Splunk発表資料）

　Splunk Unified Data Ingestionを利用すれば、ユーザーはメトリックやイベント、ログ、トレースといったデータを一度にSplunkプラットフォームに取り込んだ後、他のSplunk製品や、Ciscoのアプリケーションパフォーマンス管理ソリューション「AppDynamics」、監視ソリューション「ThousandEyes」、さらには主要なデータレイクに送信できる。

　「データ連携はIT運用担当者やSOCチームにとって肝であり、イノベーションが求められている。製品間でのデータ連携を簡素化するSplunk Unified Data Ingestionはゲームチェンジャーになるだろう」（ケイシー氏）

データのフェデレーションに関連した2つの新機能

　基調講演では、「Ingest Processor」と「Federated Analytics」というオブザーバービリティ関連の新機能も発表された。

　データを適切にコントロールするためには、データ管理だけでなくデータのフェデレーションも必要不可欠となる。Splunkは2023年には、Splunkプラットフォームへのエッジ環境のデータ取り込みに向けたプロセッサ「Splunk Edge Processor」を発表していた。今回は顧客から多くの要望が寄せられていた「Splunk Cloud Platform」向けのプロセッサとしてIngest Processorをリリースする。

　Ingest Processorは「Splunk Data Management」ポートフォリオに含まれる。Ingest Processorを使用すると、Splunk Cloud Platformを通じてデータ処理構成を管理し、データ取り込みトラフィックを監視できる。

Ingest Processorは現在、プレビュー版のみの提供となる（出典：Splunk発表資料）

　Federated Analyticsは、Splunk ES 8.0に入る機能でSplunk Cloud PlatformとSplunk ESのプライベートプレビュー版に搭載され2024年7月から提供を開始する。これは「Amazon Web Services」（AWS）のセキュリティデータレイクサービス「Amazon Security Lake」で直接データを分析する機能だ。

　Amazon Security Lakeとシームレスに統合することで、データを再配置することなく、セキュリティインシデントを効率的に検出して調査できる。この機能によって豊富なコンテキストを利用したデータ分析を迅速に実行でき、運用の俊敏性が強化される。

Splunk ES 8.0およびFederated Analyticsの詳細はこちらの記事でも解説している（出典：Splunk発表資料）