サイバーセキュリティ脅威、ITシステムを取り巻く環境の変化、有害事象など、問題が発生するのは避けられません。しかし、組織はこうしたインシデントに直面しても、システムのセキュリティと信頼性を確保する必要があります。そのためには、検出、調査、対応を迅速かつ包括的に行い、マクロ環境のニーズの変化にすばやく適応し、最終的にその経験を生かして、将来同じようなイベントに効果的かつ効率的に対応できる能力が欠かせません。このような特性を持った組織は、デジタルレジリエンスの高い組織とみなされています。
しかし、さまざまな課題のために、セキュリティ運用、IT運用、DevOpsの各チームが組織のデジタルレジリエンスの構築を支援できずにいることが少なくありません。
- コンテキストに即した可視化ができないことや、ツールセット(とチーム)のサイロ化により情報の共有や相互運用ができないことが原因で、多くのチームがセキュリティインシデントやITインシデントを迅速かつ効果的に検出、調査し、問題に対応するのに苦労しています。
- セキュリティやITに関するインサイトがさまざまなインターフェイスやツールに分散しているため、状況をすばやく把握することが難しくなっています。
- セキュリティ、IT、開発のプロセスが複雑で時間がかかるため、問題を迅速に解決する組織の能力が損なわれています。
- また、多くのチームが、毎日発生する膨大な数のセキュリティ脅威やIT運用上のインシデントに対して、手作業でトラブルシューティングや問題対応を行わざるを得ないのが現状です。そのため、セキュリティ運用、IT運用、DevOpsの各チームがリアクティブな対応に追われ、常に防御を強いられ、プロアクティブな対策でビジネスを保護できないなど、絶えず苦戦していることがよくあります。
Splunkは本日、お客様がこうした課題を軽減し、デジタルレジリエンスを構築するのに役立つ統合セキュリティ/オブザーバビリティプラットフォームの革新と強化を発表しました。各製品をご活用いただくことで、セキュリティ運用、IT運用、DevOpsの各チームは以下のことが可能になります。
- SIEM、SOAR、脅威インテリジェンス管理における脅威検出、調査、対応のワークフローを、Splunk Mission Controlと呼ばれる共通の作業環境に統合して、セキュリティインシデントの解決を迅速化。
- Splunk Cloud PlatformのSplunk Mission Control、Splunk Observability Cloud、およびEdge Processorで、セキュリティとITのワークフローのシンプル化、データ処理の効率化、トラブルシューティングの迅速化を実現。
- Splunk Mission ControlとSplunk Application Performance Monitoringに組み込まれた自動化機能でセキュリティ運用、IT運用、DevOpsをモダナイゼーションし、問題対応の大規模な効率化、手作業での対応からの解放、ビジネスのプロアクティブな保護を実現。
統合的なセキュリティ運用でデジタルレジリエンスを強化
セキュリティ運用には、組織のデジタルレジリエンスの達成を阻むさまざまな課題があります。脅威の検出、調査、対応機能が複数の異なるシステムやサイロ化されたセキュリティツールに分散しているため、チームがセキュリティイベントの状況を認識し、連携して対応し、インシデントを効率的かつ迅速に解決することが難しくなっています。SOCは鳴り止まないセキュリティアラートと次々に現れる新たな攻撃や複雑な攻撃への対応に追われ、イベントのバックログが大量に発生してリスクが高まっています。しかも、チームはこのようなイベントの調査や対応を手作業で行わなければならないため、数分単位ではなく数時間単位の調査を余儀なくされています。アナリストは問題を迅速に解決して脅威に先手を打てず、SOCは絶えず防御に追われ、リアクティブな対応を強いられているのが現状なのです。
今こそ複雑なセキュリティ運用を合理化するときです。Splunkの統合セキュリティ運用ソリューションは、セキュリティ分析(Splunk Enterprise Security)、オーケストレーションと自動化(Splunk SOAR)、脅威インテリジェンスを共通の作業環境で管理できるSplunk Mission Controlを通じて、最新のシンプルな統合セキュリティ運用エクスペリエンスをSOCにもたらします。これにより、検出、調査、対応が迅速化され、手動タスクの自動化でチームの生産性が大幅に高まり、SOCの運用にデジタルレジリエンスとサイバーレジリエンスが組み込まれます。
Splunk Securityでは、以下のことが可能になります。
- 検出、調査、対応機能の統合により、迅速なアクションとインサイトの優先順位付けが可能になります。セキュリティチームは、検出、調査、対応のワークフローを統合することで、セキュリティに関するインサイトと傾向の全体像を把握し、リスクの判別を迅速化できます。また、SIEM、SOAR、脅威インテリジェンスなど、複数のセキュリティ管理コンソールを切り替える必要がなくなります。その結果、セキュリティインシデントの検出、調査、対応にかかる平均時間が短縮され、問題をより迅速に解決できるようになります。
- プロセスを対応テンプレートにまとめて体系化することで、セキュリティワークフローをシンプル化できます。Splunk Mission Controlを利用すれば、セキュリティ運用手順を事前定義済みのテンプレートにまとめて体系化し、SOCプロセスの順守率を高めることができます。これにより、反復可能なプロセスを確立してセキュリティインシデントの調査をすばやく開始できるようになるため、より堅牢なセキュリティ態勢を構築できます。
- セキュリティの自動化によるスピードアップで、セキュリティ運用のモダナイゼーションを実現できます。セキュリティスタックを統合して、手作業による反復的なセキュリティプロセスを自動化することで、調査と対応に数時間から数日かかっていたのが、数秒から数分に短縮されます。また、Mission Control内でプレイブックを適用することで、調査と対応のタスクが業界標準の対応テンプレートに合わせて自動化されます。検出のワークフローから調査と対応のワークフローに移行するのに、複数の管理コンソールを切り替える必要はありません。そのため、ミッションクリティカルな業務に専念できる時間が増え、よりプロアクティブで俊敏なセキュリティ運用が可能になります。
詳しくはSplunk Mission Controlページをご覧ください。
Splunk Observability Cloudで、トラブルシューティングを迅速化して複雑なオンコールプロセスを合理化
IT運用チームとDevOpsチームは、新しい機能や製品で価値を提供することで、顧客満足度の向上を図っています。しかし、組織が俊敏性を獲得しようとインフラ、アプリケーション、エンドユーザーエクスペリエンスをモダナイズする中で、環境が複雑化し、トラブルシューティングの調査対象が拡大しています。また、チームや役割ごとにツールがサイロ化され、分断されている状況が、問題を複雑にしています。膨大な数のITインシデント管理ツールを何度も切り替えることは、もはや珍しくありません。環境全体を可視化できず、データを手作業で相関付ける必要があるため、インシデントの根本原因を究明するのは困難です。結果として、その場しのぎのリアクティブな問題解決を余儀なくされ、深夜にテストを行う羽目になり、対応に遅れが生じています。
一方、DevOpsのエンジニアとSREも同じような問題に直面しています。インシデント対応のために、複数のサイロ化したツールを利用して相関付けやプロセスを手作業で実行する必要がある上、オンコールローテーション中にコンテキストの少ないアラートが頻繁に発生するため、対応が遅れてMTTA/MTTRが延びる結果となっています。
しかし、Splunkが本日発表したObservability Cloudのさまざまな新機能を利用すれば、環境全体をより詳細に可視化し、インシデント対応のアプローチを統合して、トラブルシューティングを加速できます。今回の強化によって、クラウドネットワーク全体と各トランザクションからエンドユーザーエクスペリエンスに関するより詳細なコンテキストを獲得できるようになりました。また、オンコールでアラートの精度が向上し、複雑なプロセスが単一の画面にまとめられたため、問題への対応をいっそう効率化できます。
Splunk Observabilityでは、以下のことが可能になります。
- アラートの自動化とインシデント対応の統合でIT運用のモダナイゼーションを実現し、複雑なオンコールプロセスを合理化できます。より的確なアラートと統合的なアプローチによるインシデント対応により、インシデントの解決に費やす時間が短縮されます。DevOpsチームは、Splunk Incident Intelligenceを利用することで、顧客に影響が及ぶ前に問題を診断、修復してサービスを復旧し、オンコールの責任を果たせるため、オンコールチームの効率と連携が大幅に向上します。また、Splunk APMに追加されたAutoDetect機能が、機械学習を活用してサービスアラートの精度を大きく高めるため、アラートがきわめて的確になり、設定に必要な手作業が少なくなります。こうした新しいイノベーションでアラートの精度を高め、ワークフローを合理化することで、ITとDevOpsのチームはアラートの発生から解決までのプロセスを加速し、MTTAとMTTRを短縮できます。
- 環境全体の詳細な可視化により、トラブルシューティングのワークフローを合理化できます。Splunk Observability Cloudは、モノリシックアーキテクチャでもマイクロサービスアーキテクチャでも、すべてのユーザーセッションとトランザクションを可視化します。問題が発生しているユーザーセッションやタグに関するコンテキストなどを、ネットワークやKubernetesクラスター全体で詳しく可視化し、詳細なコンテキストを獲得できるため、トラブルシューティングを迅速化し、あらゆる問題がエンドユーザーに及ぼす影響を把握できます。IM Network Explorerでは、クラウドネットワークの健全性を簡単に監視、評価して、クラウド環境やネットワークトポロジーを明確に可視化できるため、DevOpsチームは問題解決にかかる時間を短縮できます。APM Trace Analyzerでは、数十億のトランザクションからパターンを抽出して、タグ、ユーザー、サービスに固有の問題を高い精度で検出できるため、ITとDevOpsのチームは自信を持って問題の原因をトラブルシューティングできます。
詳しくはSplunk Observabilityページをご覧ください。
Splunk Cloud PlatformのEdge Processorで、エッジでのデータ処理をシンプル化
Splunk Edge Processorは、デジタルレジリエンスの向上に取り組むIT運用担当者を支援するため、エッジのデータに関する新たなインサイトを獲得し、データがネットワークに送り出される前に量や内容を調整できる動的な機能を提供します。Splunk Cloud Platformのお客様は、クラウド管理のサービスでパフォーマンスメトリクスを利用できるため、移動中のデータに対する可視性とデータトランスフォーメーションの効率を高め、拡張における費用対効果をもたらす柔軟性を獲得できます。
- ストリーミングデータをリアルタイムで可視化できます。Splunk Edge Processorでは、管理と設定のためのコンソールがクラウドで管理されます。処理ルールもクラウドで記述され、お客様の環境内に配置されたEdge Processorクラスターに送信され、その場で実行されます。そのため、お客様は数分でデータを取り込み、すべてのデータの送受信に対する可視性をメトリクスとテレメトリで高めることができます。これにより、使いやすさが向上するだけでなく、ITチームが問題にすばやく対応できるようになるため、デジタルレジリエンスが強化されます。
- データ変換の効率を高めることができます。Edge Processorは、Splunkポートフォリオの次世代型データサーチと前処理用言語であるSPL2を使用しているため、データのフィルタリング、マスキング、ルーティングを行う際に各フィールドで高度な変換処理を簡単に記述できます。 これにより、データの転送と保存に伴うコストとオーバーヘッドを管理し、機密データが管理区域外に送り出されないことを保証し、必要なデータを漏れなく収集し、適切なフォーマットで適切な場所に届けることが可能になります。
- 拡張における費用対効果をもたらす柔軟性を獲得できます。Edge Processorでは、Splunk Cloud Platformに組み込まれたインターフェイスで管理と設定を実行できますが、実際のデータ処理はお客様が管理するノードで行われます。お客様の環境内に設置されたEdge Processorは、高性能でかつ、複数のインスタンスを持つクラスターとしてデプロイし、単一のグループとして管理することも可能です。単一のクラスターを拡張して組織全体のエッジトラフィックをサポートすることも、複数の専用クラスターを地域のデータセンターや事業部門にデプロイしてデータ主権を保護することも可能です。
詳しくはSplunk Cloud Platformページをご覧ください。
このブログはこちらの英語ブログの翻訳、岡 大によるレビューです。