Splunk Enterprise を導してログの種類も増やし、レポートも作るようになったことで、私たち自身もより多様な観点を獲得できた実感があります。つまり、CSIRTとしてスキルアップできたわけで、Splunk Enterpriseの効果はメンバー育成にも役立っているといえるでしょう。
今後はその活用を、不正口座の開設防止の取組みや、機械学習による不正送金の検知等にも広げていきたいですね。
セキュリティが生命線のネット銀行を支える Splunk Enterprise の高精度な検知 & モニタリング
標的型攻撃、進化するサイバー犯罪、なりすましや不正送金への対策にも使えば使うほど広がる Splunk Enterprise 活用フィールド
必要な時に、自分たちの手で、しかも高速で
高度化するサイバー攻撃に連携して対抗するため、わが国の金融業界ではサイバーセキュリティ情報を広く共有するエコシステムの考え方が普及しています。そのための枠組みとして設立された金融 ISAC 等を始めとする共助団体の中で、不正に使われた IP アドレス等の情報を共有しています。
こうして得た情報を元に私たちも自行内を調査します。しかし、これを行うにはモニタリング部門へデータ抽出の依頼が必要で、対応には多くの手間と時間がかかっていました」。そう語るのは、ジャパンネット銀行のサイバーセキュリティ対策を担うJNB-CSIRT の小澤一仁氏です。小澤氏によれば、たとえば金融 ISAC での情報共有は毎日のようにあり、とてもその全てを確認しきれない状態でした。そこで着目したのが Splunk Enterprise です。当初は標的型攻撃の検知を目的に社内 OA 環境のファイアウォールログやプロキシログを取込ませていましたが、インターネットバンキングのアクセスログを取込めば、サイバーセキュリティ対策に活用できると考えたのです。
「私たちの期待に Splunk Enterprise は見事に応えました。アクセスログを取込みさえすれば、必要な時に自分たちの手でしかも高速で検索できるのです。金融 ISAC 等で共有される情報も、一気に全ケースを確認できるようになりました」。こうして Splunk Enterprise は不正アクセス対策のためアクセスログの集計 / 分析を行うようになり、サイバーセキュリティ分野での成果を急速に蓄積しました。そして 2016 年、ジャパンネット銀行は例のない先進的な取組みに踏み切り、Splunk Enterprise 活用をさらに高度なステージへ進めます
課題/背景
- 標的型攻撃対策のため社内 OA 環境の FW/プロキシログのサーチ・検索
- 不正アクセス対策のため Web アクセスログの素早い集計・分析
- なりすまし・不正送金対策のためお客様の取引ログ、リクエストヘッダ等の高精度なモニタリング
導入効果
- 従来は半日~ 1 日かかっていたサイバー攻撃時の分析&対応を数分に効率化
- Splunk Enterprise を含む総合的な取組みにより、不正送金被害0 件(2016年度)を達成
- Splunk Enterprise 活用により CSIRT メンバーがスキルアップし社内 SOC (セキュリティ運用センタ部門)が誕生
