Splunk

スプランク

楽天証券様

多種多様かつ膨大なログの収集・分析にSplunkを導入 国内で初めて専用アプライアンスGemini Applianceを採用し セキュリティログ分析基盤の早期構築とTCOの削減を実現

Before
  • 各種サーバやセキュリティ機器のログデータが点在
  • セキュリティインシデントが発生しても迅速な調査が困難
  • 不正ログインや不正アクセスの調査に必要なログの集約と分析環境が必要
矢印:横
矢印:縦
After
  • 10数種類のログを収集し、ダッシュボード上で監視・分析が可能に
  • ログの収集・監視・分析でセキュリティインシデントに備える体制づくりが実現
  • ダッシュボード上で不正アクセスや攻撃などの実態調査と監視を実施
吉田 和行氏

楽天証券株式会社
業務管理本部
情報セキュリティ部
吉田 和行氏

南波 環樹氏

楽天証券株式会社 IT本部
システムリスクマネジメント部
(導入時部署名:インフラサービス部)
南波 環樹氏

セキュリティの実態調査においてログ分析のための効率的基盤が必要

楽天証券株式会社(本社:東京都世田谷区、代表取締役社長:楠 雄治、以下「楽天証券」)は、楽天株式会社の100%子会社で、日本初のインターネット取引専業証券会社としてとして1999年6月に設立。2016年10月現在、預かり資産は約3.5兆円、口座数は200万を超え、業界大手の一角である。

同社では、顧客サービス向けの「商用サービスネットワーク」と、バックヤードの業務を支えるイントラの「社内システムネットワーク」の2つが運用されている。

「これらのネットワークには各種サーバやセキュリティ機器が置かれており、セキュリティインシデントの発生といった有事の際に迅速な調査を実施する為、各サーバが生成する1台当たり1日数ギガ規模のログデータを集中管理する必要がありました」と語るのは、楽天証券 業務管理本部 情報セキュリティ部 吉田和行氏だ。同氏は、不正ログインや外部からの不正アクセスの調査、インターネットへの不正アクセスの監視など、セキュリティの実態調査をする上で、ログの一元化とログを分析するための効率的な基盤が必要だと感じていたという。

Splunkに最適化されたGemini Appliance構築に費やす時間と手間を大幅削減

その課題に対応するため、注目したのが、セキュリティログの分析に業界内外で定評のあるマシンデータ分析プラットフォーム「Splunk Enterprise」(以下、Splunk)だった。しかし、検討から導入を完了するまでの期限が限られていたため、汎用サーバと汎用OSを調達してサイジングなどのセットアップを行うことが難しい状況となっていた。そこで、Splunkを提供するマクニカが紹介したのは、当時まだ日本上陸前のSplunk専用アプライアンス「Gemini Appliance」だった。

「Gemini ApplianceはSplunkに最適化された専用アプライアンスだけあって、簡単な設定とラッキング作業だけで基本的なインプリメンテーションが完了するので、サーバ構築に費やす時間と手間を大幅に削減でき、その工数分をSplunkの設計や活用方法の検討に使えます。導入後もWeb GU(I 管理画面)からメンテナンスも可能なので大変合理的だと感じました」と吉田氏は当時の印象を振り返る。

また、採用にあたっては経営層の同意も得る必要があったため、Splunk専用のアプライアンスであるGemini Applianceならば、インシデントの検知・調査・分析や、ITシステムの監視、障害発生時の原因究明などSplunk本来の多機能性を活かしやすい上に、日々のメンテナンスの容易性や維持コストの抑制にも大きなメリットがあると訴求したという。さらに、汎用サーバと組み合わせるよりも導入時の性能検証やチューニングも不要で、導入後もパッチ管理などの業務負担を大幅に削減できる点も大きなアドバンテージだった。

SplunkとGemini Applianceの検討開始から半年後の2015年10月に正式に採用が承認され、11月末から12月下旬にかけて構築作業が完了。汎用サーバで構築した場合はOSやアプリケーションの設定などで2~ 3週間を要するが、Gemini Applianceはそれをわずか1日で完了したことになる。間もなく本格的にログの監視が開始されたことで、楽天証券がGemini Applianceの国内初のユーザ企業となった。

SplunkとGemini Applianceの導入によりインシデントに備える体制が実現

現在、SplunkとGemini Applianceは、商用サービスネットワークと社内システムネットワークが抱える各種サーバ、セキュリティ機器、データベース、アプリケーションなど10数種類のログを収集し、情報セキュリティ部がダッシュボード上で監視・分析している。

「SplunkとGemini Applianceの導入によって、従来実施できなかった各種サーバ、セキュリティ機器からの大量のログを収集・蓄積し、モニタリング・分析することが可能になり、万一セキュリティインシデントが発生しても迅速に対応する体制づくりが実現できたと考えています」と吉田氏は述べる。

ダッシュボードも目的ごとに細かく使い分けている。商用サービスネットワーク側では、攻撃・不正アクセスの傾向分析や、マネジメント向けの攻撃・不正アクセス状況レポート、検知した攻撃のドリルダウン分析などを行い、社内システムネットワーク側では、不正IP・ドメインへのアクセス確認、標的型攻撃時の調査、社外へのアクセス実態調査などを中心に監視している。

なお、Gemini Applianceは情報セキュリティ部とインフラ担当者の両方で共同管理されている。通常、情報セキュリティ部はSplunkを利用する側で、インフラ担当者はサーバ管理者の立場でGemini ApplianceのWeb GUIを利用してSplunkの維持管理を行っているが、情報セキュリティ部でもGemini ApplianceのWeb GUIを利用できるようにすることで、仮に急な設定変更が必要になった場合でも、インフラ担当者に作業依頼をすることなく、情報セキュリティ部が直接コンフィグレーションファイルを変更する作業ができるようになった。吉田氏はその点は非常に助かっているという。

一方、導入当時にインフラ担当だった南波環樹氏は、Web GUIでGemini Applianceの稼働状況を必要に応じて随時管理する役割を担っている。「Gemini Applianceは専用アプライアンスなので、汎用サーバに比べインフラのTCO(Total Cost ofOwnership)を今後5年間で1/3以上削減できると想定しています」。Gemini Applianceは独自OSであるため、汎用OSと比べ脆弱性が該当しにくく、それに伴いパッチをあてるケースが少ないのも特徴だ。

「当社では、パッチがシステムにどんな影響を与えるのかを自社環境でテストをする決まりがあり、それに多くの労力と、2週間から1ヶ月ほどのランニング期間をかけていたのですが、Gemini Applianceはパッチを当てる頻度も少なく、運用の負担と時間を大幅に削減できます」と南波氏は高く評価する。

  • Splunkの運用基盤に専用アプライアンスのGemini Applianceを活用。10数種類のログを収集し、ダッシュボード上で監視・分析を可能にした。

SplunkとGemini Applianceの組み合わせは時代の要請に対する最適な選択

楽天証券では、対象機器のログをそれぞれ単独で分析しているが、今後はそれらを統合してユーザの全体の動きを横断的に把握することが目標だという。例えば、社員の行動が可視化できる情報を精緻に把握するための運用をSplunkで実施できるよう検討中だ。また、Gemini ApplianceにはWebサーバやファイアウォールを中心に6ヶ月でおよそ200億イベントのログを収集しているが、それらをほぼストレスなく検索、分析できるパフォーマンスにも満足しており、今後はさらに容量を増やす予定だという。

さらに、コンプライアンス部門やIT部門でも各種のモニタリングの領域を拡大することが求められており、SplunkとGemini Applianceならその領域拡大も容易にでき、導入することで効率を高めることができるほか、将来的にはログ収集対象を全てのセキュリティ機器に拡大していく方法も探っていく考えだ。

南波氏は、「今後インフラの構築と運用の工数を劇的に減らすGemini Applianceは、使いたい時に使えるという大きなメリットをもたらすでしょう」と述べる。

そして、今回のプロジェクトを振り返り吉田氏は、社内のセキュリティの改善においてはSplunkとGemini Applianceは多大な貢献をしていると高く評価する。「導入のスピード、管理のしやすさ、ログ検索時のパフォーマンスの高さなど、導入効果は極めて高かったと思っています。昨今、ログモニタリングと分析基盤整備の必要性が叫ばれ、どのような対策を実施すべきかが問われている中で、SplunkとGemini Applianceの組み合わせはその要請に対する最適な選択であり、その可能性に今後も大いに期待しています」

常に業界に先駈け新たな挑戦を続ける楽天証券。SplunkとGemini Applianceはその多機能性と可用性のコラボレーションでこれからも同社の成長と革新を支え続ける。

User Profile

楽天証券
URL

https://www.rakuten-sec.co.jp/

楽天グループのインターネット証券として1999年6月に創業し、日本初のオンライン専業証券としてサービスを開始。豊富な商品ラインアップと最先端のオンライントレードで初心者から経験者まで幅広い層の個人投資家にサービスを提供し、口座数は2016年2月現在で200万口座に達する。独自のトレーディングツールによる株価のリアルタイム配信のほか、楽天市場と共通のポイントプログラムの導入、楽天銀行や楽天カードと連携した各種金融サービスなど、楽天グループの強みを最大限に活かしたユニークな事業展開が特徴。