サービスの多様化やグローバル展開でサイバー攻撃が急増しリスクが増大

スカパーJSAT株式会社（以下、スカパーJSAT）は、1996年に日本初のデジタル放送「パーフェクTV !」を立ち上げた株式会社スカイパーフェクト・コミュニケーションズと、日本の民間宇宙通信事業を開拓したJSAT株式会社が2007年4月に経営統合して発足。その後、衛星通信事業者の宇宙通信株式会社を子会社化し、2008年6月に統合会社が誕生した。現在は、国内唯一の衛星多チャンネル放送を運営するプラットフォーム事業者として、約370万のお客様にご視聴いただく「スカパー !」を運営するとともに、16機の通信衛星を保有し、世界第5位の売上高を誇るアジア最大の衛星通信事業者として成長し続けている。

有料多チャンネル事業においては、4K放送などの放送の高度化にも積極的に取り組み、海外向け日本コンテンツチャンネル「WAKUWAKUJAPAN」も展開を開始。また宇宙・衛星事業では、自治体や企業のDR（災害対策）/BCP（事業継続計画）に向けた通信インフラを提供する一方で、アジア・オセアニア・中近東・ロシアなどに向けた衛星回線の提供により、グローバルな事業展開と新規事業領域の拡大に取り組んでいる。

そうしたサービスの多様化や海外事業比率の拡大によって同社を悩ますことになったのが、標的型攻撃を始めとするサイバー攻撃の急増による情報流出などのセキュリティリスクの増大だった。「近年は、攻撃手法の多様化、巧妙化が進み、防 御手段を構築するにも限界があります。そのため、万が一、標的型攻撃によって侵入を許してしまっても社内から社外への情報流出を高精度に検知し、未然に防ぐ仕組みの構築が重要だと考えました」と語るのは、スカパーJSAT 経営戦略本部 情報システム部 OAインフラチーム アシスタントマネージャーの杉田氏だ。

同社はさまざまなセキュリティ製品を導入し、その関連サーバやネットワーク機器などから生成されるログも収集して、手作業で突き合わせる地道な作業を行ってきた。しかし、収集するログは膨大な上に種類も複雑で、業務委託するSIerのSEにも協力を求めざるを得ないほど、ログ管理業務が大きな負担になっていたという。「数GB以上のログを突き合わせていたので、1つの事象を調べるにも数日を要することも珍しくはありませんでした。膨大なログの中から異常の兆候を発見するには多くの手間と時間がかかり、迅速な解決に向けて大きな課題を感じていたのです」（杉田氏）

取込むログが固定されたSIEMではなく、柔軟性のあるSplunkを選択

そこでスカパーJSATは、ログ分析に費やす時間を可能な限り短縮し、迅速な調査が可能なログ分析ツールの活用を決断。2013年2月から対応可能な製品の調査を開始した。

選定の条件としては、全てのログを一元的に収集できるだけではなく、ログの突き合わせを自動化して必要な情報を効率良く洗い出せることを重視。また、分析対象となるログの種類が今後増えていくことを想定し、あらゆるログに対応できる柔軟性なども考慮に入れて、複数のログ分析製品を比較していった。

その中で注目したのが、マクニカが提供するマシンデータ分析プラットフォーム「Splunk Enterprise」（以下、Splunk）だった。

ログフォーマットの定義を行わなくても多様なログを取込めるため、導入時の負荷が軽く、事前に分析要件を決める必要はなく状況に応じて柔軟に分析できることが特徴という杉田氏は、「検索の操作性も直感的で、必要な情報を瞬時に抽出しグラフィカルに表現できるので難易度は非常に低いと感じました」と第一印象を振り返る。

Splunkは、他の製品のように新たな製品の導入などにより取込むログが増えた場合や導入時に決めた分析要件以外が必要になった際の追加開発やカスタマイズの必要性がなく、評価に多大な工数を必要としなかったことも大きなメリットだったという。また、ログのリアルタイム検索やグラフ集計機能が優れており、専門的な知識を持たない担当者でも高度なレポートや分析ができるようになる点にも杉田氏は注目した。

「ログの監視と運用は自社内で行うことが大前提でしたので、追加の開発やスペシャリストの養成が不要なことは極めて重要な要件でした」

導入支援サービスを活用しSplunkの習熟期間を短縮

スカパーJSATは、2013年6月にSplunkの無償評価版を利用した生のログによる性能評価と動作検証を実施。その結果をもって、7月に正式に導入が決定した。

8月からは本格導入フェーズに入り、マクニカの「Splunk導入支援サービス」を活用して構築期間を短縮。2013年11月には無事カットオーバーを迎えた。

「Splunk社の認定資格を持つマクニカの導入支援サービスを活用したおかげで、Splunkを使いこなすための習熟期間を短縮することができ、本番運用に向けてスムーズな構築が実現しました」（杉田氏）

Splunk導入後の具体的な活用方法は次の3つ。１つ目は、ネットワーク機器のログ監視による不正通信の検知。2つ目は、ネットワーク機器のログ集計による通信状況の把握。3つ目は、複数のサーバログを分析することによるサーバ状況の確認である。

複数拠点に設置されたネットワーク機器やサーバなどのログを一旦本社のログサーバに蓄積し、必要に応じてSplunkに取込み分析するという方法で運用を行っている。それにより、これまで時間がかかっていたログの突き合わせ作業を大幅に短縮することができるようになったという。

多くのログを分析・関連づけることで従来とは異なる視点での気づきを得る

Splunk導入以後の変化について、杉田氏は以下の3つの側面から分析を加える。第1が既知の脅威への対応。これまでは、不正通信を検知する仕組みがなかったため、被害が発覚した後にようやく異常に気付くという可能性も考えられたが、Splunkによってネットワーク機器のログをリアルタイムに近い形で取込み、監視することで、不正通信のプロアクティブな検知が可能になったという。

第2は未知の脅威への対応。ネットワーク機器のログから通信先別のアクセス回数、トラフィック量などを分析し、グラフ化した結果、アクセス回数やトラフィックの急増など異常が見受けられた場合には、通信の発生源を特定することができるため、サイバー攻撃の早期発見に役立てられるという。

そして第3にログの一元化を挙げる。これまでのログ調査では複数のセキュリティ製品やサーバのログなどを1件1件確認していたが、Splunk導入後は複数のログをマッチングさせてSplunk上で一元的に可視化できるようになったため、必要に応じた自在で多角的な分析により迅速な調査が可能になったという。

「Splunkはログをさまざまな視点で可視化できるので、例えば特定箇所の通信量やアプリケーションごとのログなどを従来とは異なる視点で分析することで、これまで気付かなかったものが見えてくる可能性が高まりました。必要な情報を素早く抽出できるため相対的に以前よりログを見る量が増えていると感じています」（杉田氏）

また、ITインフラ管理の面でも効果があった。「機器の構成やネットワークの変更などを行う際、担当者が間違って設定することも考えられます。その場合は通常とは異なる形式でログが生成されていることに気付くことができ、機器の設定ミスを即座に発見することも可能になりました」と杉田氏は述べる。

今後、スカパーJSATでは、Splunkのダッシュボードとビュー機能を充実させて、ログ分析の時間短縮や通信状況の可視化、扱いやすいインターフェース作成などに取り組むほか、取込み対象のログを追加することで各種ログの相関分析を強化するなど、ログをさらに活用することでセキュリティを強化していく考えだ。

「一般的なログ管理製品では、どんなログを収集し、それによってどのような分析をしたいのかポイントを絞らなければ効果が生まれにくいのですが、Splunkの場合はさまざまな種類のログを加工せずに取込むことができ、その上でどのように分析するかを柔軟に吟味することができる点に強みがあります」と評価する杉田氏は、今後Splunkによってさらに興味深い気づきが生まれるのではないかと大いに期待を持っている。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら