SOC担当者の負担低減へ Splunk ES 8.0の目玉機能とCiscoとの連携の未来
Splunk Services Japanは2024年10月31日にSplunk ES 8.0の一般提供を開始した。同バージョンの目玉機能によってSOC担当者の負担はどのように解消されるのか。また、Ciscoとの統合によってSplunk製品にどのような変化が訪れるのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Splunk Services Japanは2024年12月17日、SIEM(Security Information and Event Management)プラットフォーム「Splunk Enterprise Security 8.0」(以下、Splunk ES 8.0)の機能について解説する記者説明会を開催した。
Splunk ES 8.0は2024年10月31日に一般提供が開始された。今回追加された新機能は、激化するランサムウェアの攻撃手法の変化に対応できる有効な防御を提供するという。
従来SOCが抱える困難な課題の解消を支援 Splunk ES 8.0の目玉機能とは?
昨今のランサムウェア攻撃の主流はいわゆる「二重恐喝型」だ。被害企業をランサムウェアに感染させて、重要データを窃取・暗号化して復号を条件に金銭を要求するのに加えて、窃取した情報をリークサイトに公開すると脅すことでさらに恐喝を重ねる。
ただこの手法が一般化したことで、防御側の対策も進歩した。多くの企業がバックアップソリューションを導入したことで、万が一ファイルが暗号化されたとしても、重要データを保護し、迅速な復旧が可能になった。
Splunk Services Japanの矢崎誠二氏(セキュリティ・ストラテジスト)(筆者撮影)一方でこれを受けて攻撃者側もさらに手法を変化させてきている。Splunk Services Japanの矢崎誠二氏(セキュリティ・ストラテジスト)は「防御側の進歩によって、最近のランサムウェアはもはや暗号化を実行せず、窃取したデータの暴露と引き換えに金銭を要求してきます」と述べる。いわゆる「ノーウェアランサム」だ。
この他、ソフトウェアサプライチェーンリスクも問題だ。2020年にはSolarWindsの「SolarWinds Orion」のビルドプロセスにバックドアが仕込まれた。これによって同製品のユーザー1万8000社以上がマルウェアに感染し、特権が奪われたり、重要情報が漏えいしたりしたという。
矢崎氏によると、このような脅威状況を踏まえると企業はネットワークやエンドポイント、クラウドなど複数のセキュリティ領域をまたぎ、多数のセキュリティ製品を導入する必要が出てきている。しかし複数の製品から出力されるセキュリティログやアラートをソリューションごとのコンソールで管理するのは運用が煩雑であり、各製品から出るアラートのひも付け、影響範囲の特定も困難だ。
さらに攻撃者は監視が不十分な部分や、攻撃が成功しやすい領域から侵入や拡大を試みる。そのためSOCチームの間で、複数のセキュリティ製品のログやアラートを網羅的に収集、統合し、単一の環境で分析して早期に脅威を検知し、対処に結び付けるSIEMのニーズが高まっているという。
Cisco XDRとSplunk ESの統合で変わるSOCジャーニー
こうしたニーズに応えるためSplunk ES 8.0ではSOC機能を強化する複数の機能を提供する。特に注目すべきは脅威の検出から対応、封じ込めまでの一連のプロセスをSplunk ESで一元的に実行できる点だ。
複数のセキュリティ製品から上がって来るアラートを相関分析し、コンテキストに沿って単一のセキュリティイベントとして関連付ける。これよってノイズを極小化でき、本当に対処すべき問題が分かりやすくなる。「SOCの運用効率の劇的な向上が期待できる」(矢崎氏)。
Splunk ES 8.0では脅威の検出ルールも強化されており、1700以上のルールに基づいて、セキュリティイベントを脅威フレームワーク「MITRE ATT&CK」で定められている攻撃者の行動と照らし合わせてマッピングする。これによってSOC担当者はこの問題がどのような内容で「いつ」「どこの」ホストで発生し、「どの」ユーザーが悪用されていたのかなどがセキュリティイベントを一目見るだけで判断できる。
脅威検知後の影響範囲の特定や封じ込めについては、「Splunk SOAR」との統合によって自動化されたアクションが実行できる他、脅威対処における各フェーズで推奨アクションを提案する新機能「Response Plan」を使うことで、より詳細な分析や対処が可能になる。この他、Splunk ESでは、生成AIツール「Splunk AI Assistant」のプレビュー版も提供されているため、SOC担当者の負担は一層低減されるだろう。
矢崎氏は最後に「Splunk ESは今後、『Cisco XDR』との統合も視野に入れている。これらの製品を組み合わせることでSOCのインシデント調査や対応のジャーニーを包括的にサポートできるようになる」と締めくくった。
関連記事
ChatGPTは犯罪者たちの“良き相棒”に ダークWebで観測した生成AIの悪用事例8選
生成AIを悪用したサイバー犯罪は既に現実のものとなっている。では攻撃者はこれをどのように悪用するのか。本稿はダークWebで観測した具体的な8つの悪用事例を解説するとともに、今後起き得る13のAIリスクについても紹介する。
Yahooがセキュリティチームの従業員を大量レイオフ レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。
セキュリティ責任者は“眠れない” 業界の過酷な実態が調査で明らかに
Splunkの調査によると、CISO(最高情報セキュリティ責任者)は深刻なストレスと過労に直面し、転職希望やメンタルヘルス低下が広がっているという。厳しすぎるセキュリティ担当者たちの実態を明らかにしよう。
Azureの多要素認証に重大な脆弱性 4億以上のMicrosoft 365アカウントに影響か
Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- サイバー犯罪のハードルが激減? 無償で使える生成AI「KawaiiGPT」が登場
- この先5年でインフラ運用担当者が知るべき技術は Gartnerが提言
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
ITmediaはアイティメディア株式会社の登録商標です。