SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

IoT時代のセキュリティ(AD)

【対談】大量マシンデータをセキュリティに活用する新手法とは?未知の攻撃や内部不正をログから”追いかける”Splunk

“データセンターのGoogle”――Splunkの有用性とは?

蔵重:今はログを収集するだけでは足りず、求めている「情報」を導かなくてはなりません。膨大なログから一見関連性のないものと組み合わせて、必要な情報を導き出す技術が必要です。そこに有用なツールとなるのがSplunk(スプランク)です。

▲テキスト形式のあらゆるマシンデータを利用可能
▲テキスト形式のあらゆるマシンデータを利用可能

安藤:Splunkは、「データセンターのGoogle」と呼ばれることもあります。これは、データセンターにある膨大なログから相関分析などで必要な情報を導き出すことも、Splunkならば可能だからと聞いています。

蔵重:そうです。複数のサーバーにあるデータを集約して検索するのが得意な製品です。一般的にログデータというのは製品ごとにフォーマットが異なり、分析するにもデータ長などを揃え、各データの前処理をしないと分析できません。しかしSplunkは日付や文字などデータタイプを自動判別するため、収集したログデータがそのまま解析できます。

 株式会社ブロードバンドセキュリティ 取締役CTO 安藤一憲氏
株式会社ブロードバンドセキュリティ 取締役CTO 安藤 一憲氏

安藤:ファイアウォールのログ、アプリケーションのログ、OSのログ、それぞれ製品ごとにも形式が異なっていますからね。それぞれ、単体で使う分にはいいのですが、集約して全体を分析するとなると難しい。Splunkのいいところはログデータの垣根を取っ払い、全てのデータを飲み込んで処理してくれるところです。

蔵重:複数のデータを組み合わせて情報を導き出すには心強いツールです。さらに言えば時間が含まれるデータを追跡するのが得意です。

▲標的型攻撃を受けた端末の特定
▲標的型攻撃を受けた端末の特定

安藤:内部不正を割り出すようなときは時間が鍵になりますからね。時間の経過とともに起きた変化を追跡すると、不正や攻撃の経緯が徐々に見えてきます。例えば「ある人が出社すると内部からの攻撃が増えている」とかですね。入退室記録とサーバーへの攻撃のログを照らし合わせると、関連性が見えてきたりします。

蔵重:内部調査には重要です。例えば「出社の記録がない社員のアカウントでログインされている」などはとても疑わしい情報となります。ここが不正事実を解明する糸口となります。

安藤:認証記録とほかのデータの照合は重要ですね。どのマシンにどのユーザーでログインして、どのサーバーにアクセスして、どのコマンドを発行したか。時系列で事象を追いかけると不正行為がどのように行われたのかがおおよそ見えてきます。こうした追跡にはSplunkは強いと思います。

蔵重:ここ数年ビッグデータ時代と言われています。それでも、先ほどお話したようにビッグデータも、そのままでは分析できるデータばかりとは限りません。データの絶対量が多くなるわけですから、使える形式に変換したり、判別したりするデータ分析の前処理の負荷は大きくなります。

安藤:そうですね。データは単に集めればいいというものではありませんね。何と何を照合すればいいのかも重要です。

蔵重:そこはある程度人間の経験と知恵から培われた勘になりますが、Splunkがあることによって技術者はデータの前処理などの作業から解放されるので、短期間で経験値を得やすくなる効果があると思います。

■■■  Splunk 関連セミナー 11月21日(金) 開催! ■■■

「内部不正やセキュリティ事件はなぜ防げないのか? ~情報漏えい事件のトレンドと巧妙な攻撃や内部不正を追い詰めるSplunkのログ解析~」

★詳細・お申込み(無料)はこちら⇒ http://www.hitachi-solutions.co.jp/events/2014/splunk1121/

次のページ
Splunkの特徴は「追いかける」――JP1や秘文と連携することでより強力に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6166 2015/05/07 16:59

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング