サイバーセキュリティとオブザーバビリティ製品を提供するSplunkの日本法人であるSplunk Service Japanは、セキュリティプラットフォームの最新版である「Splunk Enterprise Security 8.0（以下、Splunk ES 8.0）」の一般提供を2024年10月31日に開始した。それに合わせ、企業のセキュリティ対策の課題とSplunkソリューションの活用法に関する記者説明会を12月17日に開催した。

ランサムウェアは“たかり”に悪質化

企業を狙うランサムウェアは悪質化している。Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏は、窃取した情報を暗号化すらせず、ただ金銭を要求するだけのランサムウェアも出現しているとここ最近の“進化”を説明。「不正ソフトというより、“たかり”になってきている」。2020年のSolarWinds問題に代表されるように、攻撃がサプライチェーン全体に影響を及ぼすことも警戒しなければならない。

Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏

こうした状況で企業は網羅的な対策を施す必要に迫られており、シングルポイントソリューションでは対応が追いつかなくなっている。そこでSIEM（Security Information and Event Management：セキュリティ情報イベント管理）製品による総合的な分析、運用が必要になるが、攻撃者はセキュリティレベルの低い部門を狙って攻撃を試みるため、「（どの部門も）同じレベルでデータを集め、分析することが重要だ」と矢崎氏は指摘した。

検知から封じ込めまでのセキュリティ運用を一括で

この要求に応えた「未来のSIEM」がSplunk ES 8.0だという。アラートの7～8割をグルーピングすることによる運用効率の向上や、単一の画面で1700以上もの検出機能を表示できる包括的な可視性を大きな特徴としている。EDR製品やネットワークセンサーからの情報も統合して表示できるため、問題が生じたホストや、悪用されたユーザーの特定も容易とのこと。特定されたユーザーはすぐにブロックでき、セキュリティ運用効率の向上に寄与する。

Splunk ES 8.0はTIDRのプロセスを一括してサポートする

Splunk ES 8.0は、脅威を検知し、捜査して封じ込めるというTDIR（Threat Detection and Incident Response）のプロセスを「すべて1つのプラットフォームで行うための基盤として」利用でき、企業のSOCを強化できるという。