2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
とあるセキュリティ担当者の日常
「Aさん、全社共通のSpamメールボックスにメールが届いていたから確認をお願いします。」
「・・・また新手の攻撃キャンペーンでもはじまったか?」と内心面倒だったが、Aは忙しい業務の傍らでSpamメールボックスに届いた不審なメールの中身をチェックしはじめた。
「まずはメール本文を読んでみるか。日本語も上手だし、一見、正規のメールにも見えるな。文面だけでは判断できないので、本文内に記載されたURLのレピュテーション評価をしておこう」
「念の為、URL内のDomainについてもDomainレピュテーションサービスを使ってチェックしておこう。」
(本文内のURLとDomainの数だけ、レピュテーションサービスサイトにコピー&ペーストを繰り返す…)
「URL/Domainのレピュテーション評価でいくつか黒判定をしているようだ。一応、URLに代行アクセスしてくれるScreenshotサービスでwebサイトの様子を見てみよう」
「よし。これは正規のサービスを装ったフィッシングメールと判断して、全社に不審メールに関する注意アナウンスを出そう。」
(その後、Aさんはリスク管理室と連携し、注意アナウンスを出した。)
ここまでの調査にかかった時間は30分程度かもしれません。しかしユーザーからSpamボックスにメールが転送された時間は昨日の19時頃。昨日はチームの歓送迎会などもあり早めに業務を切り上げていた。全社アナウンスをした時にはすでにユーザがメールを開いていて、攻撃者による侵害が始まっているかもしれません。 日中の忙しい業務の中「人」に依存したマニュアル調査には以下の課題があります。
これらの課題を解決し、平準化された運用フローを確立するための支援ツールとしてSOAR(Security Orchestration Automation & Response)のSplunk SOARがあります。
Splunk SOARであれば上記のような不審なメールの調査フローもプレイブックを元に自動で回すことによって、数十秒で処理を完結することができます。
今年に入ってSplunk JapanではSplunk SOAR Hands-Onを数回開催し、沢山のセキュリティ運用担当のお客様にご参加いただきました。その中で頂いたご意見として「自分達でplaybookを準備できるようになるまでに色々な具体例を紹介してほしい」がありました。
そこで今後は本Blogにて再利用のしやすい以下、代表的なプレイブックを紹介していきたいと思います。
Splunk SOARはCommunity版であれば無償で1日100アクションまで利用可能です。
まずはSplunk SOAR Communityに登録してOVAイメージをダウンロードして試してみてください。
Splunk SOAR Community登録&ダウンロードはこちらから。
Splunk SOARの検証環境を準備するために参考となる日本語記事をご案内いたします。
参考記事:SOARやろうぜ!無償のSplunk SOAR Community版使って。~準備編~
ガイド:「SOAR導入ガイド」
ホワイトペーパー:「SOARに必要な10の機能」
詳細を聞きたい方は、Splunk Japan営業までご相談ください。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。