SOC (セキュリティオペレーションセンター)はサイバー防御の要です。セキュリティに関するすべての問題がSOCに集まり、そこでは専属のセキュリティ運用チームが組織のデジタル環境を隅々まで守るべく日夜奮闘しています。SOCの仕事は問題の解決にとどまりません。レジリエンスを構築し、脅威を予測し、常に先手を打つことも重要な任務です。
SOCのミッションは言葉にすればシンプルです。それは、問題を検出し、調査して、対応することです。しかしセキュリティ関係者なら誰でも知っているとおり、実際にはシンプルとは程遠い仕事です。攻撃対象領域は絶えず拡大し、脅威はより巧妙になり、政府は規制を次々に増やし、状況が目まぐるしく変化します。重圧が高まる中、セキュリティ運用チームは人知れず活躍して、デジタル世界の安全を守り、イノベーションの可能性を押し広げているのです。
効果的なSOCの中核を担う最新のSIEM
パフォーマンスの高いSOCの中核には常に、最新のSIEM (セキュリティ情報およびイベント管理)ソリューションがあります。SIEMはこの20年間で大きく進化しました。しかし、どれでも同じというわけではありません。市場に出回っているSIEMソリューションの中で、保存場所に関係なくすべてのデータを可視化できるものは一部に限られます。ほとんどのSIEMは、アラートの量を十分に削減できず、アナリストがイベントの優先順位を効率的に判断できなかったり、検出の精度が低く、最新の脅威に対応できなかったりします。また、SOCにとって必須の、脅威の検出、調査、対応を統合する基盤プラットフォームとしての機能を持たないものも少なくありません。
しかし、Splunkは違います。Splunk Enterprise Securityは、他のSIEMとは異なり、脅威の検出、調査、対応のための統合ソリューションとしてSOCの中核となる基盤を提供し、未来志向のSOCのニーズに応えます。包括的な可視化と、コンテキストに基づく高精度の検出により、運用効率が向上します。さらに、拡張性の高いプラットフォームと、AIドリブンのアシスト機能によって、大規模な分析による継続的なセキュリティ監視とコスト効果の高いデータの最適化を可能にします。この強力な基盤があれば、あらゆる脅威を検出し、包括的に調査して、迅速に対応することで、セキュリティ運用の効率を飛躍的に向上させることができます。1
- アラートの量を90%削減
- インシデントの検出から、調査、対応までの時間を99%短縮
- オーケストレーションと自動化によって応答時間を5分の1に短縮
これらの成果により、Splunk Enterprise Securityは業界内で高く評価されています。最近では、ガートナー社®によるSIEM部門マジッククアドラントTMで10年連続で市場リーダーに選出されました。
QRadarやPalo Alto Networks社のXSIAMの問題点
Palo Alto Networks社は先日、IBM社のQRadar SaaS (Software as a Service)の資産を買収すると発表しました。それを受けて、QRadarのオンプレミス版とSaaS版のどちらのユーザーの間でも、今後の対応について不安が広がっています。特にオンプレミス版のユーザーにとっては喫緊の事態です。IBM社とPalo Alto Networks社の共同発表において、QRadarをオンプレミスで使い続けるユーザーには今後、IBM社からセキュリティとユーザビリティ関連のアップデートや重大なバグ修正などのマイナーアップデートしか提供されないことが明かされたためです。IBM社による開発は打ち切りとなるため、QRadarオンプレミス版のユーザーはいずれ、脅威の進化に対応できなくなります。また、移行サービスでサポートされるのは、クラウドソリューションであるPalo Alto Cortex XSIAMへの移行のみであるため、クラウドへの移行を考えていなかったユーザーは大きな選択を迫られます。QRadar SaaS版を使用していても、XSIAMへの移行が推奨されています。しかし、その移行にはいくつかの重大な問題点があり、その影響はセキュリティ運用全体に及ぶ可能性があります。懸念される点としては、すぐに使えるコンテンツが限られる、最小限のコンプライアンスレポート機能しか利用できない、インテグレーションが制限される、XQLの使い方を覚えなければならない、Jupyter Notebookを使った独自の機械学習(BYOML:Bring Your Own Machine Learning)機能がまだ成熟していない、などが挙げられます。
また、現行のSIEMでOT環境をサポートしている場合は、強力なオンプレミスソリューションが必要です。さらに、アマゾン ウェブ サービス(AWS)クラウド環境での検出も問題です。すべてのデータをGoogle Cloud Platformに移行して、外部転送のための料金を余計に支払わなければならないのでしょうか?そうならないことを望みます。
こうした不確定要素がある状態では、イノベーションロードマップが策定され、SOCの基盤としてふさわしい選択肢と柔軟性を提供する、実績あるSIEMソリューションと比べて見劣りします。
強力な移行インセンティブパッケージでSplunkに安全に移行
不確定要素があることは、特にサイバー防御の重要領域において大きな懸念材料です。Splunkは、業界をリードするSplunk SIEMソリューションの価値をお客様に実感していただくため、Splunkソリューションのパッケージ割引または最大1年間の無償提供、移行支援、円滑な移行を促進するトレーニングリソースを含む、移行インセンティブパッケージを提供しています。
すでに数百社のお客様がIBM QRadarからSplunk Enterprise Securityに移行して、組織の保護の強化とセキュリティ目標の達成に活用しています。また、オンプレミスからクラウドに移行する場合、ベンダーの都合ではなくお客様にとって都合の良いタイミングで移行していただくことができ、その実績も豊富です。
SplunkによるSIEMの最新化には大きなメリットがあります。たとえば、欧州のSplunkパートナーの1社であるReeVo社は以前、脅威の検出と対応にIBM Security QRadarを利用していました。しかし、事業が欧州全土に拡大すると、QRadarではセキュリティ要件の変化に適応できなくなったため、Splunkを全面的に導入することにしました。
“Splunkのおかげで、欧州全土のお客様により適切なサポートを提供できます。Splunkとのパートナーシップにより、私たちが目指す成長目標の達成を後押しする単一のプラットフォームを構築できました。さらに重要なのは、Splunkによってお客様それぞれのニーズに効率的かつ透過的に対応できるようになり、お客様にもSplunkを利用してもらえるようになった点です” - ReeVo社CEO、Antonio Giametto氏
Splunk Enterprise SecurityによるSIEMの最新化は、デジタルレジリエンスの強化にも役立っています。たとえば、メキシコ最大級のスーパーマーケットチェーンを展開するSoriana社は、インシデントの検出、調査、対応の合計時間を99% (48時間から2時間に)短縮しました。
“現在では、システムの脆弱性を特定できるようになりました。前に使っていた他のプラットフォームではできなかったことです。Splunkのおかげで、セキュリティ戦略を改善し、当社の資産と情報を効果的に保護できるようになりました“ - Soriana社CISO、Sergio Gonzalez氏
Splunk Enterprise SecurityとIBM QRadarの違いについては、こちら比較サイトをご覧ください。移行を検討中で、SplunkのSIEM移行のアプローチに関する詳細を確認されたい方は、『SplunkへのSIEM製品移行ガイド』(英語)をご覧ください。このE-bookでは、世界各国のさまざまなお客様に合わせた移行プロセスを紹介しています。
今回紹介した特別なインセンティブプログラムの詳細と適用条件については、Splunkの営業窓口にお問い合わせください。移行の際はSplunkがきめ細かくご支援いたします。
1お客様の報告に基づくデータ
GARTNERは、Gartner, Inc.の登録商標およびサービスマークです。Magic Quadrantは、Gartner, Inc.および/またはその関連会社の米国および国際的に認められた登録商標です。ここではいずれも許可を得て使用しています。無断複写・転載を禁じます。
ガートナー社は、同社の発表する調査文書に記載されているベンダー、製品、サービスを裏付けるものではなく、技術ユーザーに最高評価またはその他の評価を受けたベンダーのみを選択するよう勧めるものではありません。ガートナー社の発表する調査文書では、同社の研究組織による意見が述べられており、事実の記述として解釈されるべきものではありません。ガートナー社は、商品性や特定の目的に対する適合性の保証を含む、本研究に関する明示的または黙示的な保証を一切放棄するものとします。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
