このソリューションは、マシンデータ利活用基盤「Splunk」のイベントログ収集・相関分析によって検知した脅威に対し、ネットワーク管理SDNシステム「Cisco Prime Infrastructure(Cisco PI)」がネットワークを制御することで、セキュリティ対策初動の自動化を実現するもの。
日立情報通信エンジニアリングは、セキュリティ脅威発生時に人手を介さずネットワークを自動制御する「Splunk」と「Cisco PI」の連携プログラム「インシデント レスポンス自動化SDK for Prime Infrastructure(インシデント対応SDK)」を開発した。
「インシデント対応SDK」は、セキュリティ対策の初動に必要な切断や隔離などの機能を集約したライブラリであり、対象端末のIPアドレスを基に制御対象のネットワーク機器を自動的に認識して制御するなど、簡単なインタフェースでネットワーク制御を実現する連携プログラム。「インシデント対応SDK」が「Splunk」と「Cisco PI」を繋ぐことで、従来は人手を介して実施されていた初動対応を自動化することができ、サイバー攻撃被害の最小化と運用管理コストの低減を実現する。
このプログラムは、業界トップシェアであるシスコ社のネットワーク製品を利用して数多くのネットワークシステムの設計・構築・運用業務に携わってきた日立情報通信エンジニアリングが、その経験を生かして開発したもの。
「ネットワークセキュリティ対策自動化ソリューション」の特徴は次のとおり。
1. セキュリティ対策自動化による運用管理コストの削減
サイバー攻撃が検知された場合、あらかじめ設定されたネットワーク制御ポリシーの下、自動でネットワークを制御。夜間、休日など情報システム管理者が不在でも、人手を介さずセキュリティ対策の初動対応を完了することができ、運用管理コストを低減させる。
2. 豊富な知見と導入実績に基づくノウハウを活用し膨大なログをリアルタイムに解析
「Splunk」は、サーバーやPC、ネットワーク製品など多種多様な機器が出力する膨大なイベントログの中から不審な動きをリアルタイムに検出。日立ソリューションズの豊富な導入実績とそれに基づく知見から、不正があると思われる機器やシステムのログを相関分析して、より高度なセキュリティ脅威の検知を行う。
3. 既存システムとの連携による投資コストの抑制
「インシデント対応SDK」は、さまざまなセキュリティ製品との連携を柔軟にするユーザースクリプトを用意しており、セキュリティ製品ごとに簡単に作成することができる。これにより、さまざまなセキュリティ製品との連携が可能になり、すでに導入されているシステムを利用できるほか、より高度なマルウェア対策システムへのアップグレードにも対応することができる。
