SOCを最新化してレジリエンスを向上させるための基盤を構築する

セキュリティチームは、かつてないほど多くの課題に直面しています。攻撃対象領域の拡大、脆弱性の増加、やむことのないサイバー攻撃など、いずれも組織のリスクを著しく増大させるものばかりです。Splunkの『セキュリティ調査レポート2023』によると、SOC (セキュリティオペレーションセンター)の負担が増大し、23%のSOCアナリストが大量のセキュリティアラートの対応に苦慮しています¹。実際、41%ものアラートが見過ごされています²。こうして脅威が監視の目をすり抜けることで、MTTD (平均検出時間)が長くなり、脅威の潜伏期間は平均で約2.24カ月に及んで³、52%の組織がここ数年の間にデータ漏えいを経験しています⁴。

こうした課題に対して、今日、追い風と逆風が同時に吹き始めています。Splunkが最近公開した『Splunkによる2024年の予測 - セキュリティ編』レポートでは、生成AIがツールとしても脅威としても存在感を増すと予測しています。セキュリティチームがAIを活用してセキュリティ業務を自動化し人手不足を補う一方で、攻撃者はAIによってマルウェアの回避能力を向上させ、ディープフェイクやソーシャルエンジニアリングを巧妙化すると考えられます。2024年には新しいタイプの攻撃も登場するでしょう。その1つとして、特定の企業にターゲットを絞ってそのブランド価値や評判を低下させ、売上や収益に打撃をもたらすディスインフォメーション攻撃が挙げられます。ランサムウェアの開発者がネットワークへの侵入手段としてゼロデイ脆弱性を悪用するケースが増えることも予想されます。 

セキュリティチームは、このような課題によって高まるリスクを緩和するために、レジリエンスを向上させる必要があります。Splunkの調査では、デジタルレジリエンスの高い組織は社会的な混乱の中でも高い成果を達成し、特にデジタルレジリエンスジャーニーで最先端を行く組織はダウンタイムコストを年間で平均4,800万ドル節約していることがわかりました。デジタルレジリエンスの向上という目標はセキュリティ運用の変化を促し、回答者の10人中9人が、組織のセキュリティ運用戦略におけるデジタルレジリエンスの重要性が1年前よりも高まっていると回答しています¹。またCISOは、セキュリティ運用の効果と効率を向上させる必要があることを認識しています。実際、84%の組織が、この点をテクノロジー面での優先項目トップ5に挙げています¹。  

その取り組みを支援するのがSplunkです。Splunkのセキュリティソリューションは、セキュリティ態勢を包括的に可視化して、ビジネスリスクを低減することにより、デジタルレジリエンスジャーニーの推進をサポートします。リスクベースの脅威検出、調査、対応を実現してSOCの最新化を支援し、活発なコミュニティを通じてセキュリティイノベーションを後押しします。  

以下では、その具体的な方法をご紹介します。 

包括的な可視化によってビジネスリスクを低減

ビジネスリスクを低減するには、まず、データを包括的に可視化する必要があります。基本機能にAIを組み込んだSplunkのセキュリティプラットフォームは、組織内のあらゆるソースからデータを取り込み、正規化や分析を行って、環境を包括的に可視化するとともに、イベントのコンテキストを補強します。これにより、SOCにとって重要な次の3つの成果を実現します。 

脅威をすばやく検出する：あらゆるソースからのデータを分析するため、重要なシグナルを見逃しません。業界屈指のSIEMプラットフォームであるSplunk Enterprise Securityでは、統合サーチ機能により、データの保管先に関係なく、あらゆるイベントを検出できます。また、CIM (共通情報モデル)やOCSF (Open Cybersecurity Schema Framework)などのデータモデルやアーキテクチャを採用しているため、異なるデータソース間で整合性を保ち、データ分析を効率的に行うことができます。

インシデントのコンテキストを理解する：2023年初め、Splunk Enterprise Securityに脅威トポロジーとMITRE ATT&CKフレームワークの2つの表示方法が追加されました。これらを使えば、インシデントの状況をすばやく把握して、問題をより迅速に解決できます。脅威トポロジー表示では、ユーザー、マシン、脅威の関係をマッピングすることでインシデントの全体像を理解し、状況をより正確に把握すると同時に観点を拡大できます。さらにMITRE ATT&CKフレームワーク表示では、各種の戦術や技法がセキュリティ資産やアイデンティティにどのような影響を与えたかを包括的に調査できます。そこから、MITRE ATT&CK情報にすばやくドリルダウンして、追加のコンテキストを収集し、対応計画を立てることも可能です。

リスクにプロアクティブに対処する：Splunkのリスクベースアラート(RBA)機能では、リスクをユーザーやシステムと関連付け、アラートをサイバーセキュリティフレームワークにマッピングして、リスクが指定のしきい値を超えたときにアラートを生成できます。これにより、脅威の優先順位をより的確に判断できます。アラートの忠実度が向上し、誤検知によるアラートを削減できるため、アナリストは重要な脅威への対応に集中できます。また、Splunkにはすぐに利用できる1,450の検出ルールが用意されています。これらは、MITRE ATT&CK、NIST CSF 2.0、サイバーキルチェーンなどの業界標準のフレームワークに準拠しており、最新の高度な脅威も検出して、リスクをプロアクティブに緩和できます。さらに、2023年にリリースされたSplunk AI Assistantでは、SPLをより手軽に利用してワークフローを効率化し、作業時間を短縮できます。 

脅威検出、調査、対応を統合してSOCを最新化

Splunkの脅威検出、調査、対応(TDIR：Threat Detection, Investigation, and Response)の統合ソリューションは、業界屈指のSIEM、SOAR (オーケストレーションと自動化)、組み込みの脅威インテリジェンス、UEBA (ユーザーとエンティティの行動分析)テクノロジーによって支えられています。1つの画面からすべての最新機能を利用でき、攻撃が自動的に分析されます。これらのテクノロジーを基盤にSOCを最新化し、長期的なセキュリティレジリエンスを構築できます。 

業界屈指のSIEMによる検出、分析、調査：最新のTDIRソリューションの基盤には、優れたSIEMが欠かせません。Splunk Enterprise Securityは、ガートナー社による評価で、SIEM部門のリーダーに9年連続で選出されています。このソリューションを使用すれば、データを包括的に可視化し、そこから実用的なインサイトを引き出すことができます。脅威が高い精度で検出され、コンテキストが補強されるだけでなく、リスクベースアラート機能によって、重要度に基づいてアラートが選別、優先順位付けされるため、アラートの量を低減して、アナリストの生産性を向上させることができます。さらに2023年には、「脅威トポロジー」や「MITRE ATT&CKフレームワーク」などの組み込みのインシデント表示が利用可能になり、セキュリティイベントのコンテキストをより詳しく把握できるようになりました。Splunk Enterprise Securityには脅威インテリジェンスも組み込まれており、関連情報が自動的に補強されるため、アナリストは情報に基づいて状況をより的確に判断し、すばやく対応できます。そこにSplunk User Behavior Analytics (UBA)を組み合わせれば、機械学習を活用した異常行動分析により、内部脅威や未知の脅威を高い精度で検出できます。この行動分析機能は、Splunk Enterprise Security内から利用することも、個別のソリューションとして利用することも可能です。

SOCプロセスの自動化と対応の迅速化：最新のTDIRソリューションには、SOAR (セキュリティのオーケストレーションと自動化)機能も欠かせません。これにより、分析プロセスを効率化し、調査と対応にかかる時間を短縮できます。Splunk SOAR (Security Orchestration Automation and Response)は、個別のソリューションとしても、Splunk Enterprise Securityの統合機能としても利用することが可能です。Splunk SOARを使用すれば、アナリストが手動で行っていた作業を自動化して、効率と生産性を向上させることができます。複数のツールをまたぐセキュリティタスクを瞬時に自動実行する「プレイブック」を使って、手動では数分または数時間かかる脅威の調査と対応を数秒で完了することも可能になります。これにより、アナリストを単純作業から解放し、時間を節約して、脅威へのMTTR (平均対応時間)を短縮できます。実際にSplunk SOARを導入したお客様は、大幅な時間短縮を実現し、定型作業に費やす時間を90%短縮しています。2023年には、脅威の分析と関連するデジタルフォレンジックを自動化するSplunk Attack Analyzerがリリースされました。この機能を利用すれば、複雑な攻撃チェーンを自動的に追跡および分析して、現在発生している脅威をより正確に理解し、的確な判断を行って、調査を迅速化できます。Splunk Attack Analyzerを自動化エンジンであるSplunk SOARに統合すれば、脅威の分析から対応までをエンドツーエンドで完全に自動化できます。 

すべてを統合：2023年初め、業界屈指のSIEMであるSplunk Enterprise Security (ES)にSplunk Mission Controlが内蔵機能として追加されました。Mission Controlでは、業界フレームワークに沿った事前構築済みのテンプレートを使って、検出から、調査、対応までのセキュリティ運用プロセスを1つの画面に統合できます。そのため、検出、調査、対応と作業が変わるたびにセキュリティツールを切り替える手間を省けます。アナリストは、セキュリティインシデントをライフサイクル全体で把握し、SIEMの脅威インテリジェンスとSOARを1つのインターフェイスから操作してインシデントに対応できます。これにより、リスクの迅速な特定、ワークフローの合理化、プロセスの標準化を実現して、調査と対応をよりすばやく行い、脅威への防御力を高められます。さらに、このすべてを統合したソリューションにより、SOCは、ログ管理、ログの長期保存、インシデント管理に関するコンプライアンス要件に対応し、規制リスクを抑えることもできます。データを一元的に収集、サーチ、監視、分析することで、コンプライアンス要件への対応も効率的に行えるようになります。

活発なSplunkコミュニティを活用してセキュリティイノベーションを強化

セキュリティに関する課題に直面したときはいつでも、Splunkの活発なユーザーコミュニティを利用して、豊富な情報を集めることができます。ユーザーから、パートナー、App、脅威調査まで、SOCの的確な判断と迅速な行動に役立つあらゆるセキュリティリソースがあります。 

疑問を解決：Splunk Answersでは、世界150以上の地域のユーザーグループに所属する25万人以上のユーザーが、毎月5万7,000件以上の質問と回答をやり取りしています。ここに来れば、セキュリティに関する課題を解決するための豊富な情報を得られます。また、Splunkコミュニティでは、製品の機能強化に関する提案や投票を受け付けています。これに参加すれば、Splunkプラットフォームのイノベーションに寄与して、Splunkが提供するソリューションや機能の計画に直接関わることができます。 

必要な機能を自作：Splunkはオープンな設計になっているため、ユーザーが独自のAppやプレイブックを作成し、既存のツールとシームレスに統合することで、組織独自のセキュリティニーズに合わせてソリューションを自由にカスタマイズできます。また、Boss of the SOC (BOTS)などのコンテストに参加したり、Splunk Automation Gamesでプレイブック作成のスキルを披露したりして、Splunkコミュニティを盛り上げ、ユーザー間のコラボレーションを促進できます。

パートナー、App、脅威調査を活用：Splunkの大規模なコミュニティは、2,200社以上のパートナーと、パートナーやコミュニティがSplunkbaseで公開している2,800以上のAppで構成され、各組織のテクノロジースタックに応じた独自のユースケースを支援する膨大なリソースを提供します。SAP、アマゾン ウェブ サービス(AWS)、Salesforceなどの各種システムとSplunkを統合してシームレスな接続とデータフローを構築するために必要なツールも充実しています。また、知識豊富なSURGeやSplunk脅威調査チームが提供する最新の脅威調査やアップデートを入手することもできます。Splunk Enterprise Securityには、Splunkの脅威調査チームが開発した1,450以上の検出ルールが用意されており(今後もさらに追加されます)、未知の脅威の検出や、検出エンジニアリングの知識向上に役立ちます。これにより、最新の調査とエキスパートの知識に基づいて、個々の脅威に関する技術的な課題に効果的に対応できます。

レジリエンスジャーニーを始めましょう

Splunkはいつでも、お客様のレジリエンスジャーニーに伴走し、SOCを最新化してレジリエンスを向上させるための基盤構築をお手伝いします。Splunkソリューションを利用すれば、混乱の中で後手の対応をしていたSOCを、問題にプロアクティブに対応するレジリエンスの高いチームに進化させて、主導権と自信を取り戻すことができます。Splunkセキュリティソリューションでできることについて詳しくは、こちらをご覧ください。Splunkテクノロジーの詳細、セキュリティに関する深い知識、セキュリティ調査を参考に、レジリエンスジャーニーを始めましょう。

^{[1]出典：Splunkの『セキュリティ調査レポート2023』
[2]出典：Splunkの『セキュリティ調査レポート2023』
[3]出典：Splunkの『セキュリティ調査レポート2023』
[4]出典：Splunkの『デジタルレジリエンスの強化による効果』(2023年)}

このブログはこちらの英語ブログの翻訳、大久保 かがりによるレビューです。