サイバー攻撃による脅威への対策として、企業内の様々なネットワーク機器、サーバ、ワークステーション等のログを収集・管理することが必須であり、複数あるITインフラ機器のログを収集・分析するにはSIEM(Security Information and Event Management)製品が有効になる。なかでも「Splunk Enterprise」は、様々な機器から出力されるデータに関し、形式や構造、種類に関係なく統合ログ管理とイベント管理ができる特徴を持ち、広範囲にログ収集できるため導入が拡大しているという。
しかし、収集した多種多様なログからサイバー攻撃の痕跡を見つけ、対処するためには高度で専門的なセキュリティの知見が必要になる。また、リアルタイムで膨大なログを監視する体制を構築・維持しなければならず、導入したものの、企業内でのセキュリティ監視は大変困難なのが実状だという。
ラックは、日本最大級のセキュリティ監視センター「JSOC」において、1日14億件にものぼるログ解析を行っている。この知見を生かしてこのたび、SIEMとして世界中で評価の高い「Splunk Enterprise」を運用し、収集されたログを24時間365日監視する「SIEM監視サービス」を提供する。また、SIEM製品の未導入の企業にも、ラックが製品導入から運用・監視の体制構築までトータルで支援する。
このサービスの導入により、企業内にある様々なITインフラ機器のログを収集・分析することで、日々高度化・巧妙化するサイバー攻撃から効果的に防御を実現する。提供するサービスは、標的型攻撃および出口対策で有効なプロキシ製品のログ分析から始め、その後、Active DirectoryやDNSサービスなどに順次拡大する予定。単一機種のみの監視では見えてこない新たな脅威を、多角的な分析で発見するという。
「SIEM監視サービス」の主な特徴
・ITインフラ機器のログ分析による監視
JSOCのセキュリティアナリストが24時間365日、独自の分析ロジックで各機器のログを多層的に分析。インシデント発生時には、影響範囲を特定して通知し、企業のインシデント対応を支援。
・「Splunk Enterprise」の運用を支援
統合ログ管理とイベント管理をJSOCが企業に代わり運用し、管理のために求められる技術スキルにも対応。また、SIEM製品の未導入の企業でも、ラックが製品導入から運用・監視の体制構築までトータル支援。
・新たな攻撃手法が発見された場合のログ遡及分析
新たな攻撃手法が発見された場合、同様の攻撃が既に行われている可能性があるため、現在発生している一定時間内の事象の分析だけでなく、場合によっては数か月前のログまで遡及して、新たな攻撃手法を実行した痕跡がないか、再度分析を実施。
