ラックは3月7日、企業内のITインフラ機器の情報(ログ)の一元管理や分析を行う統合ログ管理製品「Splunk Enterprise」を運用・監視する「SIEM監視サービス」を4月1日から提供を開始すると発表した。
今回、ラックのセキュリティ監視センターであるJSOCがユーザーに代わり、ログ管理製品を使い、最新の脅威に対応することで、標的型攻撃などのサイバー攻撃から守る。
-
「SIEM監視サービス」の概要
近年、脅威への対策として、企業内のさまざまなネットワーク機器、サーバ、ワークステーションなどのログを収集・管理することが必須であり、複数あるITインフラ機器のログを収集・分析するにはSIEM(Security Information and Event Management)製品が有効だという。
Splunk Enterpriseの特徴として「ITインフラ機器のログ分析による監視」「Splunk Enterpriseの運用支援」「新たな攻撃手法が発見された場合のログ遡及分析」の3点を挙げている。
ITインフラ機器のログ分析による監視では、JSOCのセキュリティアナリストが24時間365日、独自の分析ロジックで各機器のログを多層的に分析し、インシデント発生時には影響範囲を特定して通知することで、ユーザーのインシデント対応を支援するという。
Splunk Enterpriseの運用支援については、統合ログ管理とイベント管理をJSOCがユーザーに代わり運用し、管理のために求められる技術スキルにも対応することに加え、SIEM製品の未導入の企業でも同社が製品導入から運用・監視の体制構築までトータルで支援する。
新たな攻撃手法が発見された場合のログ遡及分析に関しては、新たな攻撃手法が発見された場合、すでに同様の攻撃が行われている可能性があるため、現在発生している一定時間内の事象の分析だけでなく、場合によっては数カ月前のログまで遡及して、新たな攻撃手法を実行した痕跡がないか、再度分析を実施するという。
同サービスは標的型攻撃および出口対策で有効なプロキシ製品のログ分析から開始し、その後はActive DirectoryやDNSサービスなどに順次拡大する予定だ。提供価格は税別で、月額92万9000円~、2018年度に20社以上へのサービス提供を目指す。
