製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
Splunk
スプランク
三菱電機インフォメーションシステムズ株式会社様
標的型サイバー攻撃対策に取り組むMDIS。 Splunkに独自の検索式を併用し、ログ分析時間の 大幅な短縮と作業の効率化を同時に実現
- 不正アクセス発生時の調査対象が複数システムに分散され一元管理が困難
- 1インシデントあたりの分析に費やすログの検索時間と人的負担が増大
- 事後対策のみならず不正アクセスを事前に検知する仕組みの必要性
- 複数のセキュリティ機器が生成するログの一元管理と多角的分析が実現
- ログの収集・検索時間が1日から数分にまで短縮し作業負担も大幅に軽減
- 検索式を高度化し、異常事象の事前検知への活用
複数の機器から生成する大量ログ収集と分析の人的負担が大きな課題
三菱電機インフォメーションシステムズ株式会社(以下、MDIS)は、三菱電機のIT事業戦略を担うIT高度プロフェッショナル集団である。三菱電機の情報システム事業を強化・推進するため、「三菱電機グループの総合力」を最大限に活かし、研究所群やグループ企業群と密接に連携した事業展開を行い、顧客企業に対してコンサルティングから設計・構築・運用・保守にわたるシステムライフサイクル全般をサポートしている。
MDISで品質保証や生産システムの開発などを担う生産技術本部では、従来からの情報セキュリティ施策として、ファイアウォールやWebフィルター、ウイルス対策ソフト、ネットワークフォレンジックシステム、ふるまい検知機器などを段階的に導入し、それらを複合的に機能させることで、標的型サイバー攻撃による社内への不正アクセスの防止やウイルス・マルウェアの駆除、情報漏えい対策を実施。それは現在も継続している。しかし、社内の端末へのマルウェア侵入が、ふるまい検知機器やウイルス対策ソフトなどで検出された場合、関連する機器から発生する大量のログを機器ごとの担当者が手動で収集していたため、その集約と分析・調査に大幅な時間と手間を要していた。
例えば、不正アクセスが発見された場合、プロキシなどでインターネット通信のログを解析するが、プロキシだけでも1日あたり数GBのログを発生している上に、調査対象が複数のセキュリティシステムに分散される場合が多く、数名の担当者がそれぞれの担当機器のログを収集・検索し、それらを突き合わせて総合的に分析しなければならなかった。
1インシデントあたりの分析に、早くても数時間、長い場合はまる1日程度を費やしていたほか、他のログインログを調査する場合にはまた別の担当者が数時間かけて調査するなど、ログ検索時間の遅延と人的負担の増大が大きな課題となっていた。
また、ログの分析はインシデント発生の事後対策となってしまうことから、不正アクセスなどをリアルタイム、もしくは事前に攻撃の兆候を検知してアラートが上がる仕組みの必要性も議論された。
そのため、目的の異なる複数のセキュリティシステムからのログを一元的に収集・統合し、迅速に検索・分析できるシステムの導入が早急に求められた。
多種・大量ログの迅速な検索技術と運用の柔軟性・保守性でSplunkを選択
2013年半ばから調査を進める中で、いくつかのログ分析製品が候補に上がったが、それぞれの機能を詳細に比較・検証した結果、マクニカが提供する「SplunkEnterprise」(以下、Splunk)がMDISの業務に最も適切と判断された。
Splunkは多品種かつ大量のログを迅速に検索できる独自の技術を備えている上に、データフォーマット定義の容易性やクエリ(処理要求)の柔軟性が高く、運用保守性(バージョンアップの容易さやオンラインマニュアルの充実)などの面でも優位性があった。さらにスモールスタートが可能で、効果を見極めながら活用範囲を拡大できる柔軟性があるほか、マクニカの提供するワンストップのサポートサービスが導入後のスムーズな運用に役立つと判断されたことも選定の大きな決め手となった。
MDISでは2014年1月にSplunkの導入を正式に決定した。
2014年3月にログの取り込みを開始し、5月~8月にかけてSplunkコマンドを使ってログ分析用の検索式を開発。Splunkサーバ上で検索式の検証とシミュレーションを繰り返し実施し、必要とされる性能が確認できたことで、9月にSplunkの本番環境での稼働開始と同時に、検索式の運用もスタートさせた。
運用開始当初は、マルウェアの通信と疑われる通信の調査や、不審な通信(異常に大きなリクエストなど)の有無を判断する通信傾向調査、ふるまい検知機器でのアラート発生時の調査などを中心に、セキュリティシステムからのログをSplunk上で検索しており、今後運用経験を蓄積しながら段階的にログ収集の対象範囲を拡大していく方針となった。
Splunkと独自の検索式の併用で効率化とセキュリティ強化が実現
Splunkの 導入後、分散していた複数のセキュリティ機器が生成するログの一元管理と可視化が可能になったことで、端末からの通信ログを多角的に分析している。導入前に数時間~1日かけていたログの検索作業も、数分レベルにまで短縮し、セキュリティインシデントの迅速な調査・分析が可能になった。
従来は、感染拡大の調査を行うには全てのログを手作業で収集し、担当者が時間をかけて目視でチェックしなければならなかったが、現在はSplunkで収集したログに検索式を適用するだけでチェックが完了するため、文字通りオートマチックな調査が可能になり、作業の効率化とセキュリティの強化が同時に実現したといえる。
検索式の活用により、インシデントが発生した時に同様なインターネット通信が過去に行われていたかを遡って検索することができ、調査業務の負担が大幅に軽減されたという。
また、検索式を高度化して適用することで、異常な事象の発生を事前に検知することも可能になるため、インシデントのプロアクティブなチェックも今後期待できるようになった。今後はパラメータのチューニングによる検索精度のさらなる向上や、新たな検索式の研究と開発などに取り組みながら検索のバリエーションを増やし、日々変化する新たな脅威に対応できるより強固なセキュリティ基盤の構築を実現していく計画だ。
さらにSplunkではセキュリティ以外にもさまざまな機能が実現できることから、ビッグデータ分析などの方向で効果的な活用方法を模索していくことも視野に入れているという。
今回のSplunk導入および運用フェーズにおいて、MDISの生産技術本部ではマクニカの迅速なサポートや的確なアドバイスが大いに役立ったと高く評価している。また、さらなるSplunk活用に向けて、国内でマクニカ社のみが提供する、Splunk社認定トレーニングや無償のハンズオンセミナーなどを活用しながらスキルと経験を蓄積していく考えだ。
その積極的な取り組みによって、今後MDISが三菱電機の戦略IT企業としてどのようにIT事業の可能性を広げ、社会へ先進のソリューションを創出していくかが大いに注目される。
User Profile
| 三菱電機インフォメーションシステムズ株式会社 | |
|---|---|
| URL | |
|
三菱電機の研究所群やグループ企業群と密接に連携して事業を推進することで、三菱電機グループのIT事業における中核企業としての役割を担う。現在の主なビジネスフィールドは、金融システム、社会インフラ、製造業、流通システムなど広範囲にわたる。 |
|
お問い合わせ・資料請求
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
