写真左からSplunk社 技術統括本部 ソリューション技術本部 部長 横田 聡氏 NRIセキュア PM 坂森 康礼
サイバー攻撃の多様化、セキュリティ人材不足など、様々な要因により、SIEM(セキュリティ情報イベント管理)のニーズが高まると共に活用方法が変化しています。NRIセキュアテクノロジーズ株式会社(以下「NRIセキュア」)は、企業が保有するSIEM製品を対象に、24時間365日体制でセキュリティログ監視を行う「SIEM監視サービス」の提供を2022年11月より開始しました。このサービスを開発したNRIセキュアの坂森 康礼と、同じく開発に携わったSplunk Services Japan合同会社(以下「Splunk社」)の横田 聡氏が、SIEM監視における変化や狙いについて語りました。
SIEM運用内製化が進む一方で、万全の監視体制を求める企業は24時間365日の監視を専門家に
―SIEMを取り巻く環境の変化について、お二人はどのように感じていらっしゃいますか?
坂森:SIEMはサーバやネットワーク機器、クラウドなどの各種アプリケーションから集められたログ情報を一元的に蓄積・管理し、ログ同士を相関的に分析することができるシステムですが、以前は外部サーバ(ベンダーからサービスとして提供される社外に設置されたサーバ)に保管しているケースが一般的でした。しかし近年は、お客様ごとに自社でSIEMを持つようになってきました。その背景にあるのは、企業がセキュリティを経営リスクとして強く認識するようになり、セキュリティ運用の内製化を目指す企業が増えたということだと思います。
横田:事業の継続に影響するランサムサムウェアのような攻撃が増え、企業は有事の際に、早急に調査し、説明責任を果たせるような体制を構築し、「自分たちですぐに調べられるようにしておきたい」というニーズは本当に多いですね。
坂森:自分たちでSIEMを持つのであれば、それを管理できる人材も社内に必要になりますが、24時間365日体制で管理するための専門人員を集めて、万全な監視体制を社内だけで構築することはなかなか難しい。それで、日々の監視はセキュリティベンダーなどの専門家に依頼し、いざというときには自分たちで確認できる状態を目指す企業が増えています。
お客様のSIEM製品をアナリストが監視するSIEM監視サービスとSplunk管理オプション
―SIEM監視サービスとは、どのようなサービスですか?
坂森:SIEM監視サービス*は、現在、「Splunk Enterprise」と「Splunk Cloud Platform」を利用しているお客様を対象に、NRIセキュアのSOCアナリストが独自に開発した検知ルールを実装し、検知されるアラートを監視・分析するサービスです。セキュリティインシデントを早期発見することで、お客様が抱えるSIEM運用の課題を解消することが可能となります。また、「Splunk Enterprise」を導入する際の設計・構築から導入後の運用監視、障害検知対応、バージョンアップなどについて、オールインワンで提供するオプションサービスとして、「Splunk管理オプション」も提供しています。
*本サービスの対象となるSIEM製品は今後追加していく予定です。
―検討を始めたきっかけを教えてください。
坂森:冒頭でお話したように、自社でSIEMを持つお客様が増え、その基盤を利用したSOC監視についてのご相談を受けることが徐々に増えていました。このように以前よりニーズがあることは感じていたものの、リソースとの兼ね合いもあり、なかなか着手できていなかった状況でした。そんな中、あるお客様から「自社のSIEMを見てもらいたい」という具体的なご依頼をいただいたことをきっかけに、Splunk社にもお声がけしてお客様と三位一体での開発を行うことになりました。
―SIEM製品はいろいろありますが、なぜSplunk社にお声がけされたのですか?
坂森:当社が以前からサービス提供している「セキュリティログ監視サービス(共用SOC)」でもSplunkを活用しており、検索も早く、操作も直感的に分かりやすいこと、そして、何より安定的に稼働することが分かっていたからです。
横田:ありがとうございます。本来、SplunkはSIEMとして開発されたものではなく、大量の非構造化データを高速検索するために生まれてきた製品です。SIEMとも相性が良かったのでセキュリティ分析に使っていただいていますが、非構造化データを繋げてE2E(エンド・ツー・エンド)で可視化できるということに高い優位性がある製品なので、その点をご評価いただけるのは嬉しいです。
坂森:マシンラーニングやビッグデータの解析なども可能ですよね?
横田:はい。機械学習や Deep Learning などの実現を容易にする無償のAppなども公開しております。
坂森:SIEMは海外製品が多いため、国内の導入事例が多いこと、さらに日本向けのサポートが手厚いことも、製品を選定する上で重視しており、Splunkを選択した大きなポイントでした。
横田:Splunkも米国発の海外製品ですが、日本でのサービス強化に注力しています。既に日本法人の社員も200名を超える規模となり、日本のパートナーに対して手厚く支援するための準備ができているので、他のSIEMベンダーに負けまいと思って取り組んでいます。
―NRIセキュアから共同開発の声がかかり、どのように思われましたか?
横田:「セキュリティの知見を持ったパートナーにSplunkを使ったSIEM監視をしてもらいたい」ということは、私たちも以前から考えていました。Splunkの構築に際してのご支援はさせていただいても、実際のお客様のセキュリティ運用まで踏み込んでご支援している企業は多くなかったため、「どんなパートナーとなら付加価値の高いサービスを提供できるだろう」と考えていた時に、NRIセキュアからお声がけいただきました。
以前から、当社が主催しているSplunk勉強会にはNRIセキュアの方が大勢参加いただいているのですが、誠実で真面目で熱心な“エンジニア気質”の方が多いなという印象があったので、NRIセキュアとならお客様のニーズに応えられるサービスが作れそうだと感じました。
坂森:実際にSplunk社と1年以上かけて100個以上の質疑応答をしながら開発を進めていきました。これまでのようにSplunk利用者としての立場ではなく、サービス提供者の立場で、かなり細かい点まで何度も確認させてもらいました。
例えば、ルールのアップデートやプロセスの再起動など運用で行うオペレーションについて、検知漏れなどのネガティブな影響が発生しないかはかなり細かく確認させてもらった記憶があります。時にはSplunk内部の動作仕様に関わる部分まで交えてご説明頂き、我々もしっかり理解した上でサービス開発を進めることができました。深くお付き合い頂き、感謝しております。
横田:それくらいクオリティにこだわって、真剣にハイパフォーマンスで安定的な監視サービスを開発しようとしてくれているのが伝わってきましたし、そのおかげで安心してサービスインすることができました。
日本企業文化独自の“曖昧さ”を残すことで、柔軟な対応が可能に
―本サービスのようなお客様管理のSIEMを監視するサービスをリリースしている国内の企業は、現時点において稀有だと思います。
ニーズはあるのに、サービス化があまり進んでいないというのは、どういった点からだとお考えでしょうか。
坂森:理由は2つあると思います。一つは“高い知識を保有するセキュリティエンジニアが多数必要になるため、人材確保が困難”という点です。お客様が自由に確認できるSIEMを用いて監視を提供するということは、お客様の社内にいらっしゃるセキュリティエンジニア以上に高度な知識を保有する者が、お客様を支援する必要があります。生半可な知識や経験では務まらないので、優秀なセキュリティエンジニアが大勢必要です。そのような人材が豊富であることはNRIセキュアの強みです。
もう一つの理由は“責任の線引きが難しい”という点だと思います。マネージドSIEMに求められるのは、デバイスやIDSのような部分的な監視ではなく、お客様組織におけるサイバーセキュリティ全体の監視です。監視範囲が多岐にわたるため、「ここまでが当社の責任範囲で、ここからはお客様の責任範囲ですよ」という責任分界点をあらかじめ決めておくことが難しいです。
横田:お客様の組織に踏み込んでいく作業なので、その線引きは難しいですよね。「見落としがあるかも…」というように、サービス提供側にとってリスクとなり得る可能性もあります。
坂森:ドライに線引きできれば分かりやすいのですが、「ここまでしかやりません」というのではなく、敢えて曖昧さを残しておくことで、一緒に取り組みながら変化にも柔軟に対応していきます、というスタンスを求めている企業も多いのだろうとは感じています。
横田:当社も外資系企業ではあるものの非常にウェットな企業風土なので、「ライセンスを販売して終わり」ではなく、柔軟に運用をサポートしたいという思いがありました。坂森さんがおっしゃる通り、責任の線引きは難しいけれど、そこの曖昧さが重要なのは間違いありません。NRIセキュアがそこに踏み込んでくれたのも今回サービス化が実現できた大きな理由の一つだったと思います。
Splunkの機能を活用しながら、さらに価値の高いサービス提供へ
左からSplunk社 横田氏 NRIセキュアテクノロジーズ 開発メンバー PM坂森 PL芳賀 PMO佐々木
―リリース後の反響はいかがですか?
坂森:非常に多くのお客様からお問い合わせをいただいています。他社を通してSplunkライセンスを購入している企業にも本サービスを提供できるので、実際にSplunkを運用してみたところ「社内だけではセキュリティの運用面まで対応しきれない」と実感されたお客様からの問い合わせも多いです。
横田:Splunkはプラットフォームとしてすぐに提供できるSaaSですが、導入後に発生するサイバーセキュリティ監視について、「SIEM監視サービス」によって早急に解決できるようになったのは、非常に大きいと考えています。
―今後の展望についてお聞かせください。
坂森:Splunkには多くの機能があり、現時点ではSIEM監視サービスで活用している機能はごく一部です。今後は他の機能も活用して、さらに価値の高いサービスをお届けできるようなサービス開発を進めていきたいと考えています。また、SIEM監視サービスの開発や運用から得た知見は、他のSIEMにも活用できる点が多いので、「セキュリティログ監視サービス(共用SOC)」にも活かしていきたいですね。
横田:おっしゃる通りSplunkは多機能なので、お客様だけですべてを使いこなすのは難しい面もあります。NRIセキュアの皆さんの知見や私たちのノウハウを組み合わせれば、サイバーセキュリティから内部不正までをシームレスに管理しながら、AIアラートや自動化なども含めた“アドバンスドなSIEM”の使い方ができるようになると思います。ぜひ今後も一緒にディスカッションしていけたら嬉しいですね。
