トータルセキュリティ
ソリューション

【ゼロトラストセキュリティ】

セキュリティイベントの
監視・分析・対応を自動化
Splunk Enterprise / Enterprise Security・Splunk SOAR

概要

デバイスやクラウドサービスなどのログ管理やインシデント対応を自動化し、セキュリティ担当者の業務効率化と業務品質の均一化を実現します。

ゼロトラストセキュリティにおけるSIEM/SOARの役割

近年、DXの実現やテレワークの推進によりビジネス基盤がクラウドに移行しつつあり、これまでの境界防御型のセキュリティ対策では対応しきれなくなっています。
そこで、すべてのアクセスを信用しない前提でセキュリティ対策を考える「ゼロトラストセキュリティ」が求められています。ゼロトラストセキュリティの実現にはさまざまなセキュリティ製品／サービスが導入されますが、その分取得するログも膨大になり、セキュリティ担当者はログの監視や脅威分析に時間を取られるという新たな課題が発生します。
SIEM/SOARは、各種セキュリティ製品／サービスと連携し収集したログ／イベント情報を分析。サイバー攻撃などのセキュリティインシデントを検出、一次対処まで自動化することでセキュリティ担当者にかかる負荷を軽減し、業務の効率化を実現します。

SplunkのSIEM/SOAR

日立ソリューションズではSplunk社のSIEM製品「Splunk Enterprise / Enterprise Security」SOAR製品の「Splunk SOAR」を提供しています。
「Splunk Enterprise / Enterprise Security」は脅威検知・データ収集・データ分析・リスクの可視化を担っており、脅威情報や分析結果を「Splunk SOAR」に連携します。Splunk SOARは、脅威情報や分析結果をもとに脅威判定・一次対処・影響範囲調査・トリアージを自動化します。
この連携により、従来SOCやCSIRTで課題となっていたセキュリティ人材のスキルやリソース不足を解消し、セキュリティ運用の「高度化」、「効率化」、「迅速化」を実現します。

Splunk Enterprise / Enterprise Securityの特長

システムやネットワーク機器、セキュリティ機器から集められたログ・イベント情報を分析し、サイバー攻撃や情報漏洩などの内部不正となるセキュリティインシデントを検知します。

高度な脅威の検出
さまざまな種類のログを収集。相関ルールにもとづくサーチを実施することで、検知精度を高めます。相関ルールは定期的にアップデートされ新たな脅威への継続的対応が可能です。
インシデント調査・フォレンジック
ダッシュボード上で、セキュリティインシデントに関連するアクティビティとその影響範囲を一元的に調査することができます。
インシデントレスポンス
セキュリティイベントのリスクスコアリングや優先順位付けを行い、重大なインシデントに対する迅速な対処を支援します。

Splunk SOARの特長

セキュリティ運用の自動化を実現。インシデントの早期対処やセキュリティ運用の作業品質の底上げ・属人性の排除を実現します。

自動化
従来SOCやCSIRTが手作業で行っていた定型的な作業を自動化することにより、セキュリティインシデントのアラート処理にかかる時間を大幅に短縮。人による作業品質のばらつきも解消します。
オーケストレーション
300以上のアプリケーションと1,800以上のAPIがサポートされたオーケストレーション機能により、多数の製品と連携し、生産性を向上します。
コラボレーション
セキュリティインシデントの影響調査や対処状況をチーム内外で共有可能。対応状況を可視化することでチーム間のコミュニケーションを効率化します。