このページの本文へ

前へ 1 2 次へ

同社最高マーケティング責任者、APACチーフセキュリティテクノロジストに聞く

標的型攻撃/APT対策で急伸、Splunkが語る“次世代SIEM”とは

2015年07月08日 14時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

――その“次世代のSIEM”とはどんなものでしょうか。従来のSIEMとどこが違うのですか。

パン氏:従来型のSIEMは、セキュリティログ「だけ」を取り込んでいた。つまり、多数のセキュリティ製品から発せられる大量のアラートから、重要度の高いものを抽出し、見落とさないようにすることが主な目的になっていた。

 しかし、長期潜伏型の高度な攻撃であるAPTの場合、セキュリティログには何の痕跡も残さないことが多い。APTに対抗するためには、それ以外の一般的なログ、たとえばEメールやWebアクセス、DNS、顧客が自社開発したアプリケーションなどのログも合わせて取り込み、データを分析していく必要がある。具体的には、脅威インテリジェンス/ネットワーク/アプリケーション/エンドポイントという、4階層のデータが必要になる。

一般的なAPTは、1:組織への侵入、2:組織内での感染拡大、3:外部からの攻撃指示、4:攻撃(機密情報窃取など)の実行といった流れで実行される(左図)。セキュリティログだけでなく、EメールやWebアクセス、エンドポイントなどのログも合わせて分析しないと、攻撃の全体像は見えてこない(右図)

そのため、APT対策を成功させるためには「4つの階層」において情報を収集し、それらを統合したうえで分析する必要があるとパン氏は説明した

 また、一見正常に見えるログでも、ビッグデータとマシンラーニング(機械学習)の活用によって「異常」が見えてくることがある。これにサードパーティからの脅威インテリジェンス情報も組み合わせることで、潜伏する脅威も発見できるわけだ。

マシンラーニングを活用、多様なログから「異変」を見つける

――マシンラーニングの技術は、Splunkの中で具体的にどう活用されているのですか。

パン氏:マシンラーニングを活用することで、あらゆるデータにおいて「アノマリー(不正値)」の検出が容易になる。

 たとえばSIEMが、社内PCからWebへのアクセスログをチェックしているとしよう。通常時のアクセス先URLの長さは1000文字未満だが、あるとき急に9000文字に伸びる。SIEMはこの異常を検知して、アラートを出す。実は、マルウェアに感染したPCから、ふつうのWebアクセスに見せかけて重要なデータが送信されていたというわけだ。

 ここで、マシンラーニング技術を備えていない旧来のSIEMならば、あらかじめ設定された「しきい値」を基準に異常を判断することになる。しかし、それはとても難しい。なぜなら、個々の顧客環境における「通常時の値」をベンダーは知らないからだ。顧客の管理者自身でしきい値を設定するとしても、膨大な種類のデータ一つひとつに対して「正常な値」を決めていくのは難しく、大きな手間がかかる。

 一方、Splunkでは、平常時に取り込まれた大量のデータをマシンラーニングで解析し、最大/最小値や平均値、標準偏差などを自動的に“学習”する。これにより、顧客が独自開発したアプリケーションのログなど、どんなデータであっても「正常な値」を解析し、何らかの異変の発生を容易に検出できるわけだ。

アノマリー分析なども活用しながら、不審な通信を発見し、端末ごとの詳細なアクティビティまでドリルダウンしていくことができる(デモビデオより)

――Splunkのセキュリティソリューションを導入している海外の企業や組織の事例を教えてください。

パン氏:Splunk App for Enterprise Securityの顧客は、グローバルでおよそ4000社/組織いる。その多くが、セキュリティベンダーの従来型製品からSplunkへと乗り換えた顧客だ。

 たとえば株式市場のNASDAQ、金融機関のBank of AmericaなどがSplunkのセキュリティソリューションを採用している。また、ハニーネットやボットネットの研究のために、SymantecやSophosといったセキュリティベンダーもSplunkを活用している。サムスンも、Splunkを使ってグローバルセキュリティのモニタリングを行っている。

ソマー氏:導入の目的はAPT対策だけではない。オンラインショップなどのサイトで、違法行為や不正行為を検出するためにSplunkを採用されているケースもある。たとえばオンラインバンキングのサイトで、1つのIPアドレスから何百何千もの口座へのアクセスがあれば、それをアカウント乗っ取りとして自動的に検出できる。

 ほぼすべての主要セキュリティベンダー製品と連携できるSplunkは、セキュリティシステムの“頭脳”として動作する。さまざまなセキュリティ製品からログデータを取得し、そうした製品に高度なインテリジェンスを与えるというわけだ。

■関連サイト

前へ 1 2 次へ

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    ビジネス・開発

    いますぐ捨てたいITサービスは? AI推しにそろそろ飽きてません? 情シスさんのホンネを「ゆるっとナイト」で聞いた

  2. 2位

    ITトピック

    「AI導入で人員を減らしても収益は増えない」その理由/「専任情シス不在」中小企業の3社に2社/ユーザーアカウント流出が加速、ほか

  3. 3位

    エンタープライズ

    基盤も古いし、コードも酷い! そんなクエストにGitHub Copilotで試行錯誤しまくった「みんな」こそ最高

  4. 4位

    Team Leaders

    Power AutomateでSharePoint APIを使う ― SPOリストを自動作成するフローを作ろう

  5. 5位

    sponsored

    完全自動運転の実現へ、チューリングが開発基盤にGMO GPUクラウドを選んだ理由

  6. 6位

    ソフトウェア・仮想化

    日本の自治体がみんな使っている「ManageEngine」 IT運用のすべての課題解決を目指す

  7. 7位

    クラウド

    「すでに開発コードの4分の3はAI生成」 Google Cloud CEO、エージェント時代の戦略を語る

  8. 8位

    スマホ

    ここまで便利なのか! 子どもの居場所を90秒間隔で教えてくれる、安心の見守りガジェットがすごいぞ

  9. 9位

    ビジネス・開発

    「粗悪記事」「ゼロクリック」「搾取」からクリエイターをどう守るか? AIに強いnoteが挑む創作エコシステム

  10. 10位

    ソフトウェア・仮想化

    AIエージェントを野放しにしない ― ServiceNowは“AI司令塔”で自律とガバナンスを両立

集計期間:
2026年05月12日~2026年05月18日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧