米Splunkの日本法人Splunk Services Japan(Splunk)は12月17日、東京都内で記者説明会を開催。同社 セキュリティ・ストラテジストの矢崎誠二氏が登壇し、直近のランサムウェア(身代金要求型ウイルス)攻撃の傾向に加え、10月末に日本でも一般提供を開始した「Splunk Enterprise Security 8.0(Splunk ES 8.0)」を中心に、Splunkのセキュリティ製品群を活用した解決法を解説した。

  • Splunk Services Japan セキュリティ・ストラテジスト 矢崎誠二氏

    Splunk Services Japan セキュリティ・ストラテジスト 矢崎誠二氏

増加・巧妙化の一途を辿るランサムウェア攻撃

2024年もランサムウェア攻撃は増加・巧妙化の一途を辿っている。日本国内でも6月にKADOKAWA、10月にはカシオ計算機がランサムウェア被害に遭った。警察庁によると2024年の上半期(1~6月)でランサムウェアの被害件数は114件で、そのうち大企業が30件、中小企業が73件だった。

そのような状況の中、企業は脅威が発生し得る前提のセキュリティ対策が不可欠になっている。また、IT運用環境が複雑化していることから、脅威が発生した際にいかに迅速に検知・対応できる体制を準備しているかが鍵となっている。

矢崎氏は「ランサムウェアの検出がより難しく、そして、攻撃を受けた企業が身代金をより多く払わなければならなくなってきているのが現状だ。二重恐喝型のランサムウェアが横行しており、暗号化すらせず『情報を盗んだから身代金をよこせ』といった“たかり"のような攻撃も増えてきている」と俯瞰する。

加えて、「攻撃者は盲点、すなわち監視ができていない部分や攻撃が成功する領域から侵入や拡大を試みる。そのため、セキュリティアラームとセキュリティログ(情報)および脆弱性やIoC(セキュリティ侵害インジケーター)などの称号が極めて重要だ。全体最適を図るうえで足りない部分がどこにあるのかを考え、盲点をなくすための網羅的なデータ、ログ、情報を収集分析することが欠かせない」と説明した。

  • 矢崎氏は「全体最適を図るうえで足りない部分がどこにあるのかを考えることが重要だ」と説明する

    矢崎氏は「全体最適を図るうえで足りない部分がどこにあるのかを考えることが重要だ」と説明する

矢崎氏「Splunkは完全なTDIRをすべて実現する」

Splunk ESはセキュリティ監視機能を強化する製品だ。新バージョンのSplunk ES 8.0には、セキュリティチームがリスクをプロアクティブに管理・効果的に軽減できる機能が追加された。そのほか、脅威ハンティングや頻繁な脅威検出のために、外部にデータが保存されている場所でも直接データを分析できる新機能「Federated Analytics」が追加されている。

  • 「Splunk Enterprise Security 8.0」概要

    「Splunk Enterprise Security 8.0」概要

また「Mission Control」がネイティブに統合されたため、セキュリティアナリストは脅威の検出、調査、対応を最新の一元化されたインターフェイスから実行できるようになった。加えて、用語の標準化とSOC(Security Operation Center)業務自動化サービス「Splunk SOAR」の自動化機能を連携。アラートのトリアージと調査を迅速化し、高度な分析を行って脅威検出を強化できるようになった。

矢崎氏は「従来のSIEM(Security Information and Event Management:インシデント検知を目的とした仕組み)では現代のSOCの要求に応えられない。Splunk ESは未来のSOCを支えるSIEMに不可欠なケイパビリティを有している。包括的な可視性を実現し、コンテキストに伴う正確な検知を強化する。完全なTDIR(Threat Detection and Incident Response:脅威を特定、調査し、対応するプロセス)をすべてSplunk ES内で実現できる」と強調した。

また同社は現在、Splunk ESに生成AIを組み込んだ機能「AI Assistant」のプレビューも開始している。調査ワークフローの組み込み機能として提供しており、生成AI機能を活用してセキュリティアナリストの調査や日常業務のワークフローの迅速化につなげている。 調査プロセスを効率化したり、インシデントデータを要約したりすることが可能になった。自然言語(英語)を使って、Splunkの検索用言語であるSPL(Search Proccessing Language)を操作することで、クエリの提案、説明、詳細などを得ることができるとのこと。

矢崎氏は「非効率なセキュリティ運用がセキュリティの効果を危うくする。また、セキュリティ人材の不足は世界的な死活問題となっている。セキュリティ領域に特化したAI機能の実装を進めていく」と語った。

  • 「Splunk Enterprise Security」の推移

    「Splunk Enterprise Security」の推移

また、2024年3月にSplunkを買収した米Ciscoとの製品統合も着実に進んでいるとのことだ。

矢崎氏は「SplunkとCiscoの力により、デジタルフットプリント全体のデータを統合し、問題が起きたときの回復力を高め、より良い成果を生み出すことができる。Splunk ESとCiscoのXDR(Extended detection and response)を組み合わせることで、SOCジャーニーを完全に支援することができる」と強調していた。

  • 着実に進むSplunk製品とCisco製品の統合

    着実に進むSplunk製品とCisco製品の統合