デジタル環境が急速に拡大する今日、組織はセキュリティに関する新たな課題に直面しています。絶え間ないサイバー攻撃にさらされ、増え続ける脆弱性によって安全性が揺らぐ中、攻撃対象領域が拡大し、セキュリティチームの対応は後手に回っています。実際に、それを証明する厳しい調査結果があります。Splunkのグローバル調査レポート「セキュリティ調査レポート2023」によると、53%の組織が、セキュリティ要件に対応することが2年前と比べて難しくなったと回答しています。また、Check Point社の調査では、2022年に組織が受けたサイバー攻撃件数は前年比で38%増加し、2022年の第4四半期には1組織あたり週平均1,168件の攻撃を受けたことが明らかになりました。さらに、NIST NVD (National Vulnerability Database)に登録されたCVE (共通脆弱性識別子)の件数が、2022年4月の2,061件から2023年4月には2,363件へと、前年比で14.7%増加しています。
セキュリティチームにとって、サイバー攻撃や脆弱性の増加は制御できない現実ですが、それに対処する方法は自らの手で制御することが可能です。Splunkは、セキュリティ運用と分析を強化して、セキュリティチームがより効率的かつ迅速に脅威に対処できるよう支援します。
Splunkは2023年の初め、セキュリティ管理機能を一元化してセキュリティ運用の効率化を進めるための統合セキュリティ運用ソリューションをリリースしました。Splunk Mission Controlでは、Splunk SOARと連携してワークフローを自動化し、1つのコンソールからセキュリティインシデント対応運用を効果的に管理できます。さらに、脆弱性管理機能の強化に関する戦略的パートナーのTenable社と協力して、Splunkの統合セキュリティ運用エクスペリエンスにエクスポージャー管理機能を組み込み、セキュリティアナリストがSplunk内から脆弱性データに直接アクセスして活用できるようにしました。
Splunkは、セキュリティに関するすべてのデータと強力なセキュリティ分析機能を簡単に利用できるようにすることで、セキュリティチームの分析能力の向上を支援します。このアプローチにより、Splunkは業界で高く評価され、大手調査会社のガートナー社、Forrester社、IDC社からSIEM部門のリーダーに認定されています。脆弱性インテリジェンスは、アラートをトリアージして適切な措置をとるためのコンテキストを得るために不可欠です。そこでSplunkは、Tenable社と組んで、Splunkのセキュリティログ、行動データ、脅威インテリジェンスと、Tenableのサイバーエクスポージャーに関するインサイト(資産、脆弱性、設定ミス、パッチが未適用のコンポーネントに関するデータ)を統合するインテグレーションを共同開発しました。
このインテグレーションは、Tenable Add-on for SplunkとTenable App for Splunkで利用でき、どちらもSplunkbaseからダウンロードできます。Tenable Add-on for Splunkを使用すると、Tenable.io、Tenable.sc Vulnerability、Tenable.sc Mobileをはじめとした複数のTenableソースからSplunkにデータを簡単に取り込むことができます。一方、Tenable App for Splunkでは、脆弱性データとNessus Network Monitor (NNM)データを対象とした事前構築済みの相関サーチを利用し、すぐに使えるダッシュボード、視覚オブジェクト、レポートを提供し、重要情報をすぐに分析できます。
Tenableの情報はすべて正規化された状態でSplunkに格納され、既存のSplunkサーチが利用できるようになるため、すぐに脆弱性データを解析することもできます。たとえば、環境内の未対応の重大な脆弱性をSplunkでサーチしたいときは、「index=* sourcetype=”tenable:sc:vuln” severity=critical state=open」というシンプルなSPLクエリーを実行するだけです。
また、エクスポージャーデータとその他のセキュリティ関連情報を相関付けし、セキュリティイベントのコンテキストを抽出し、優先順位を付けることで、インシデントの調査と修復に役立てることもできます。たとえば、Splunkによって特定のホストで不審なセキュリティイベントが検出された場合、そのホストの脆弱性スキャンデータを取得して、パッチが未適用で重大度の高い脆弱性がないかどうか、ある場合はその脆弱性を突く攻撃が発生していないかどうかを調査できます。当該ホストが直近でスキャンされていなければ、Splunkの調査コンソールから、Splunk Enterprise Securityのアダプティブレスポンスアクションを介して、Tenableによるスキャンを直接リクエストできます。
組織のサイバーリスクを評価する際に脆弱性に関するインサイトを考慮に入れたいときは、Splunk Enterprise Securityのリスクベースアラートのリスクスコアに関係する要因(リスク影響要因)と、Tenableのデータから導出した資産やホストのエクスポージャー状況を相関させて分析することができます。できます。これにより、ホストにパッチが未適用の重大な脆弱性がある場合に、全体のリスクスコアが大きく上がり、そのホストに関するイベントやアラートの優先順位が高くなります。
SplunkとTenableの統合により、セキュリティチームは以下のメリットを得られます。
完全なエンドツーエンドの可視化と対応の迅速化:資産、脆弱性、セキュリティイベントを包括的に可視化することで、脅威をより正確に検出して優先順位を付け、すばやく対応できます。- セキュリティコンテキストの充実:IT/OTのエクスポージャーに関するデータをセキュリティコンテキストに追加して、リスク評価の精度を向上させ、インシデント調査を効果的に行うことができます。
- 予測に基づいた優先順位付け:インシデントの調査と対応の優先順位をビジネスリスクに基づいて判断できます。Predictive Prioritization (予測に基づいた優先順位付け)により、特に悪用されやすい脆弱性に優先的に対応することで、セキュリティ運用のリソース利用を最適化し、リソース利用効率を向上させることができます。
- ワークフローの合理化:SplunkソリューションとTenableソリューションのシームレスな連携により、Splunkの調査コンソールから直接、アダプティブレスポンスアクションを実行し、脆弱性スキャンをリクエストして、脆弱性に関するコンテキストを利用できます。
- 価値の早期実現:SplunkとTenableの実績と使いやすさを兼ね備えたインテグレーションにより、シンプルな導入プロセスを実現し、導入コストを最小限に抑えて、価値実現までの時間を短縮できます。
デジタル環境が拡大する中で増え続ける攻撃や脆弱性への対応を求められるセキュリティチームのセキュリティ運用の効果と効率を向上させることができます。SplunkとTenableのインテグレーションを導入すれば、Splunkの統合セキュリティ運用エクスペリエンスの中でアナリストが利用できる機能の幅が広がります。また、Splunkで収集されたイベント、行動データ、脅威インテリジェンスデータに、Tenableが提供する脆弱性に関するインサイトを相関付けてデータを強化することで、ビジネスリスクを評価し、それに基づいて脅威を優先順位付けできます。これにより、特に重大な脅威を優先的に検出して対応し、サイバーリスクを軽減できます。
このブログはこちらの英語ブログの翻訳、橋本 歩によるレビューです。
