.conf24：SOCの未来を支えるセキュリティイノベーションを発表

サイバーセキュリティとオブザーバビリティのリーダーであるSplunkは、複数のデータソースにまたがる脅威検出とセキュリティ運用を強化する新たなセキュリティイノベーションを発表しました。新バージョンの「Splunk Enterprise Security 8.0」では、セキュリティチームがリスクをプロアクティブに管理・効果的に軽減できる機能が追加されるほか、脅威ハンティングや頻繁な脅威検出のために、外部にデータが保存されている場所でも直接データを分析できる新機能「Federated Analytics」が追加されます。 

ますます巧妙化するセキュリティ上の課題に対応しながら、脅威の検出、調査、対応（TDIR）ができる統合ソリューションは、将来のSOC（セキュリティオペレーションセンター）を強化する上で不可欠です。Splunkの最新の製品は、基本的な機能の強化、セキュリティ態勢の包括的な可視化、正確な脅威検出、およびラピッドレスポンスのためのワークフローの合理化によって、結果的に時間およびコスト削減を実現します。

Splunk Enterprise Security 8.0：脅威の検出と対応を効率化

Splunk Enterprise Security 8.0では、Mission Controlがネイティブに統合されたため、セキュリティアナリストは脅威の検出、調査、対応を最新の一元化されたインターフェイスから簡単に実行できるようになります。これにより運用効率とスピードを向上させることができます。また、用語の標準化とSplunk SOARの自動化機能を連携させることで、アラートのトリアージと調査を迅速化し、高度な分析を行って脅威検出を強化します。その結果、セキュリティアナリストは、ワークフローを効率化し、短時間で対応することで、生産性を向上させることができます。

Splunk Enterprise Security 8.0の新機能を活用することで、以下のことができるようになります。

• シームレスなワークフローエクスペリエンスを活用：統一されたワークスペースと対応計画を提供し、脅威の特定、評価、対応を支援します。
• 調査の効率化を促進：ワンクリックで利用できる最新の情報集約機能とトリアージ機能により、事前に設定した条件に基づいて調査結果を自動的に集約し、重要なインサイトを網羅的に表示します。
• 重大なインシデントに注力して時間を節約：検出機能の強化により、リスクベースのアラート戦略を理解して実装するためのターンキー機能を提供。調査が必要な信頼性の高いアラートのみが集約されて生成されます。  
• 効率的なコミュニケーションと迅速な対応：セキュリティワークフローの各フェーズに適した明確で簡潔な用語が使われるようになりました。

Splunkのセキュリティ製品担当SVP兼GMを務めるMike Hornは、次のように述べています。「Splunk Enterprise Security 8.0の最新機能は、アナリストのTDIRライフサイクルへの対応を大きく変化させます。Splunk SOARの自動化機能の統合など、シームレスな調査とケース管理が可能な最新版を活用すれば、SOCチームは複雑なサイバーセキュリティの問題を効率的に解決できるようになります。Splunk Enterprise Security 8.0は、将来のSOCの基盤として機能し、進化し続ける脅威にもプロアクティブに対応します」

Federated Analytics：Splunkと外部のデータソースを網羅するデータ分析を強化、Amazon Security Lakeから開始

Splunkの新機能Federated Analyticsは、Splunk Cloud PlatformとクラウドベースのSplunk Enterprise Securityのプライベートプレビュー版に搭載し、データ分析のための新しいアプローチを提供します。アマゾンウェブサービス（AWS）環境、主要なSaaSプロバイダー、オンプレミス環境、クラウドソースにまたがる組織のセキュリティデータを、専用に構築されたデータレイクに自動的に一元化するサービスであるAmazon Security Lakeなどのデータの保存場所で直接データを分析できるため、脅威ハンティングを行ったり、特定のデータのみをSplunkに取り込んで脅威検出の頻度を高めることができます。また、Amazon Security Lakeとシームレスに統合することで、データを再配置することなく、セキュリティインシデントを効率的に検出して調査できます。この機能によって豊富なコンテキストを利用したデータ分析を迅速に行えるようになり、運用の俊敏性が強化され、将来的にはデータプラットフォームを拡張することもできます。

Federated Analyticsにより、セキュリティチームは以下のことができるようになります。

• あらゆる場所にあるデータを分析：さまざまな場所に保存されたデータにタイムリーにアクセスして分析でき、データの整合性を維持しながら遅延を低減します。
• あらゆる場所にあるデータからセキュリティの状況をまとめて可視化：アナリストはSplunkとAmazon Security Lakeのデータをシームレスに統合して分析し、セキュリティデータ全体を一元的に表示することで、データ保管のコストと移動の複雑さを軽減できます。
• 効率性と費用対効果を向上：データのレベル分けや選択的な取り込みや、スマートなデータ管理戦略で運用コストを最適化し、データ管理にかかる支出を大幅に削減できます。

アマゾン ウェブ サービス (AWS)でリスクマネジメント担当ディレクターを務めるMark Terenzoni氏は、次のように述べています。「Amazon Security LakeとSplunkのFederated Analyticsがシームレスに統合することにより、データのセキュリティとアクセシビリティを大幅に進化させることで、監視や脅威ハンティングといったSOCのユースケースをサポートします。Federated Analyticsは、Amazon Security Lakeの包括的な機能を活用しながら強固なセキュリティ対策を維持できます。また、Splunkと協力し、調査のためにデータを移動することなく、大量のデータソースに対して必要な分だけインデックスできるよう積極的に取り組んでいます。Federated AnalyticsとOpen Cybersecurity Schema Framework (OCSF)は、サイバーセキュリティにおけるイノベーション推進と効率化という両社共通のビジョンを明確に実現しています」

セキュリティ防御の強化：Cisco TalosとSplunkのセキュリティ製品の統合

シスコがSplunkを買収したことで、セキュリティチームはCisco Talosの脅威インテリジェンスの能力をSplunk Attack Analyzer、Splunk Enterprise Security、Splunk SOARで活用し、既知の脅威や未知の脅威に対する防御を強化できるようになります。Cisco Talosは、世界で極めて高い信頼を得ている脅威インテリジェンスチームであり、世界トップクラスの研究者、アナリスト、インシデント対応者、エンジニアで構成されています。

Talosの広範な脅威インテリジェンスネットワークを活用することで、Splunkのユーザーは脅威の検出と対応プロセスを効率化し、過剰なアラートを削減できるほか、セキュリティアナリストはよりクリティカルな脅威に集中できるようになります。Talosの脅威インテリジェンスネットワークによって、脅威の識別や対応の優先順位を世界各地で発生しているアウトブレークの元となる脅威で行え、コンテキストに即したインサイトを取得、高度な相関付けを行うことができます。

Talosのリアルタイムインテリジェンスの技術的な統合は、Splunk Enterprise Security、Splunk SOAR、Splunk Attack Analyzerを含むSplunkのポートフォリオ全体で進められています。

製品の提供時期

Splunk Enterprise Security 8.0は、現在プライベートプレビューの段階で、2024年9月には一般提供を開始予定です。SplunkのFederated Analytics機能は、プライベートプレビュー版の提供を2024年7月から開始する予定です。 

Cisco Talosの脅威インテリジェンスとSplunk Enterprise Security、Splunk SOAR、およびSplunk Attack Analyzerの統合は、まもなく開始する予定です。

Splunkの.conf24で発表されたすべての内容について詳しくは、ニュースルームをご覧ください。提供時期や地域は変更される場合があります。