将来を見据えたSIEM：Splunk® Enterprise Security 8.0のご紹介

今年はSplunk Enterprise Securityにとってエキサイティングな1年となりました。5月には、ガートナー®社2024年SIEM部門マジッククアドラント™において、10年連続でリーダーに認定されています。

もちろん、これで終わりではありません。この流れに乗ってSplunkは、将来を見据えたSIEMを発表しました。それが、現在プライベートプレビュー版として提供されているSplunk Enterprise Security 8.0です。

SIEM市場を牽引するSplunk Enterprise Security 8.0は、SOCのワークフローエクスペリエンスを大きく変化させます。これによってセキュリティアナリストは、重要な問題だけを検出し、包括的に調査し、迅速に対応するまでの作業をシームレスに実行できます。また、脅威の検出、調査、対応(TDIR)を完全に統合したワークフロー、最新の情報集約機能とトリアージ機能、強化された検出機能、用語の標準化により、セキュリティ運用を強化します。

TDIRにまったく新しい機能を取り入れて統合した製品が登場したことは、新しいタイプのSIEMが主流となるこれからの時代の始まりを告げています。このSIEMがTDIRソリューションの基盤となり、将来のSOCを強化するでしょう。これこそが将来を見据えたSIEMであり、それを実現するのがSplunk Enterprise Securityです。

SecOpsチームが直面している深刻な課題

セキュリティアナリストは、進化を続ける脅威に対処するため、クラウド、ハイブリッド、オンプレミス環境全体を可視化しながら、セキュリティ、IT、ビジネスのさまざまなソースから絶えず流入するデータを管理しなければなりません。セキュリティとは、究極的にはデータの問題です。そのためこのようなデータを効果的に活用することが重要です。また、アナリストは、データやセキュリティツールの連携が困難であるため、脅威を効率的に検出して対応するのに欠かせない情報の集約、関連付け、優先順位付けに苦労しています。その一方で、セキュリティの脅威が進化し、データが増加するにつれ、手作業での対応はますます困難になっています。さらに、さまざまなセキュリティコンポーネントで使われている用語の不統一が、チーム内に混乱やコミュニケーションの問題を引き起こし、効果的なコラボレーションや連携を妨げています。

SOCの効率を高めるには、セキュリティアナリストに効率化されたワークフローエクスペリエンスを提供し、生産性を向上させる必要があります。脅威の検出、調査、対応を統合するための基盤となるSIEMソリューションがあれば、アナリストが行うセキュリティリスク管理の信頼性と有効性を高めることができます。

Splunk Enterprise SecurityでTDIRを完結

現状、アナリストはツールの種類の多さに苦労しています。アナリストは平均で25種類以上¹のセキュリティツールを使い分けながら検出、調査、対応に関連するタスクを実行しており、このことが平均検出時間(MTTD)と平均対応時間(MTTR)に悪影響を及ぼしています。

そこでSplunk Enterprise Securityでは、最新機能を集約した1つのワークスペースをユーザーに提供しています。また、Splunk Enterprise Security 8.0では、Splunk SOARのプレイブックとアクションを、Splunk Enterprise SecurityとMission Controlのケース管理機能や調査機能と直接統合しています。これによってアナリストは、脅威の検出、調査、対応を1つの新しいインターフェイスから実行できるだけでなく、データの集約、分析、自動化を統合したソリューションを利用することで、業務の効率を大幅に向上させることができます。

Splunkは、ケース管理、アラートのトリアージ、インシデント調査、インシデント対応のユースケースに適した、シームレスで完全に統合されたワークフローエクスペリエンスをSOCに提供します。そのため、Splunk Enterprise Securityから別のツールに切り替える必要はありません。アナリストは、ワンクリックでSplunk Enterprise Security内のタスクにアクセスし、自動化やオーケストレーションを実行できます。

また、Splunk Enterprise Securityに対応計画を直接取り込むことで、一般的なセキュリティユースケースにおけるインシデント対応ワークフローを簡単にコラボレーションして実行できます。アナリストは、Splunk Enterprise Security内で定義、整理した対応プロセスを直接実行できるため、他のツールへの切り替えに余分な時間を取られることはありません。

つまり、1つのソリューションで、MTTDとMTTRの最適化および効率化を実現できるのです。

最新の情報集約機能とトリアージ機能

アナリストが手探りの状態で脅威を検出しようとしても、コンテキストを幅広く取得できずに行き詰まってしまいます。セキュリティ脅威の深刻度や潜在的な影響を把握するのにも苦労する状態が続き、情報に基づく意思決定や適切な措置を講じることができません。

そこでSplunkは、検索結果のグループ化機能をアナリストのワークフローに取り入れています。この機能は、類似エンティティ、累積リスクスコア、MITRE ATT&CKのしきい値など、セキュリティに関する一般的なグループ化機能や計算機能に照らし合わせ、事前に定義したルールに基づいて、結果を自動的に集約します。集約されたビューでは、関連する忠実度の高い調査結果をすべてワンクリックで包括的に表示できるため、アナリストは高度な脅威に対しても簡単な操作で対応できます。

検出機能の強化

セキュリティアナリストは、多くのノイズの中から優先度の高い脅威を見つけ出すのに苦労しています。推定では平均で41%²のアラートが無視されているなど、アナリストはどのような調査でも実用的な情報を得るための時間を確保できないのが現実です。さらに、収集された検出結果を管理するには、検出エンジニアが多くの手作業を行って検出結果を維持したり、結果の更新や変更を追跡したりする必要があります。

こうした状況に対処するため、SplunkはSplunk Enterprise Security 8.0の検出機能を強化し、脅威をより迅速に検出して修復できるようにしました。さらに、調査が必要な信頼性の高いアラートのみを集約して生成できるターンキー機能を使って、アナリストがリスクベースのアラート検出戦略を理解し、実装できるようにしています。この検出機能の強化によって、アナリストはリスクベースのアラート戦略を理解して導入し、信頼性の高いアラートだけを生成して徹底的に調査できます。また、高度な脅威検出を利用することで、アナリストはクリティカルなインシデントのみに集中して、時間を節約できます。さらに、Splunk Enterprise SecurityのESCUとお客様所有の検出機能に、ネイティブの自動検出バージョン管理機能も追加されています。

セキュリティ分析に関する用語の標準化

セキュリティエコシステムのさまざまなコンポーネント間で用語が統一されていないために、アナリストが苦労することがよくあります。複数の製品を使って作業する場合や、サイロ化したデータを処理する場合はさらに困難です。

Splunk Enterprise Security 8.0では、TDIRワークフロー全体で用語を標準化することで、アナリストにシームレスなエクスペリエンスを提供します。新しい分類法はOpen Cybersecurity Schema Framework (OCSF)に準拠しているため、セキュリティチームはSplunk Enterprise Security内で取り組んでいる作業を正確に把握できます。SplunkはOCSFの創設メンバーとして業界標準の採用を推進し、お客様がセキュリティデータの取り込みや分析を簡単かつ迅速にできるようサポートします。また、Splunk Enterprise SecurityがOCSFに準拠することでデータのサイロ化を解消し、セキュリティチームが脅威をすばやく効率的に検出、調査、対応できるようにします。

Splunk Enterprise Security 8.0は、2024年9月にクラウドとオンプレミスの両方で一般提供を開始する予定です。

私たちはお客様の声に耳を傾けています。アイデアやリクエストがありましたら、Splunk Ideasまでぜひお寄せください。Splunk Enterprise Securityについて詳しくは、SplunkのWebサイトをご覧ください。

#splunkconf24のハッシュタグが付いたツイートをぜひご確認ください。

@splunkをフォロー

¹ESGレポート『SOC市場のトレンド』(英語)

²『2023年セキュリティの現状』

このブログはこちらの英語ブログの翻訳、矢崎 誠二によるレビューです。