自然災害以外のサイバーBCPに向け社内でも統合SOCを導入し知見を活用

株式会社日立システムズ（以下、日立システムズ）は、1996年に国内初のセキュリティセンターを開設。以後20年以上にわたり、日立グループ各社を始めとして、大手金融機関や自治体、製造業、流通業などに、延べ1万以上の高度なセキュリティサービスを提供し続けてきた。そのノウハウと経験を元に、2017年10月に開設したのが、「SHIELD統合SOC（Security Operation Center）」（以下、統合SOC）だ。ITやOT（制御システム）、IoTなど多様な環境におけるセキュリティインシデントの早期発見、分析、および迅速な解決と事業継続を世界規模で支援するため、SOC機能を24時間365日体制のマネージドサービスとして提供している。

日立システムズでは、その統合SOCを社内でも活用し、ITインフラのセキュリティ強化に着手。そこに、マシンデータ分析プラットフォーム「SplunkEnterprise」（以下、Splunk）を活用した。　「社内ITのセキュリティを強化したきっかけは、2017年に国内でも猛威を振るったワーム型ランサムウェアの影響でした。当社でも社内向けに統合SOCが持つセキュリティアナリストの分析力を積極的に活用することで、自然災害以外のサイバー攻撃に対してもBCP（事業継続計画）を強化しようと考えたのです」と語るのは、IT本部 グローバル基盤サービス部 ネットワーク・セキュリティグループ 主任技師の飯島 信一氏だ。

統合SOCの能力を存分に活用するためには、ログの多様性が重要だったと飯島氏はいう。社内に散在するシステムのログを可能な限り多く収集して整理し、ログ同士の相関関係を分析しやすくする必要がある。ネットワークやセキュリティ系のログなどは収集していたものの、特に重要と考えたのがActive Directory（AD）のイベントログだ。しかし、Windows系のログ収集は煩雑な上、複数台あるADサーバーからのログ収集が担当者の負担となっており、それをどのように効率化していくかが大きな課題だった

多様なマシンデータへの対応に期待外販主幹の事業部も導入をサポート

そんな中、日立システムズとマクニカとの間でSplunk製品の正規パートナー契約が結ばれ、2018年4月から本格的に販売体制を整えたことから、社内でもSplunkの存在がクローズアップした。IT本部 グローバル基盤サービス部 ネットワーク・セキュリティグループ 植田 雅斗氏は、Splunkの実力を知るため、5月に社内向けに開催された「Splunk相談会」に参加したという。「ADのログはもちろんのこと、あらゆるマシンデータに対応し、事前のスキーマ設定や分析観点の再定義が必要ないなど、取扱いが容易な点に期待しました。また、Splunkの導入にあたっては、外販主幹のネットワークセキュリティサービス事業部がSplunkの導入と活用をサポートしてくれることも大きな安心材料でした」と植田氏は振り返る。

その、ネットワークセキュリティサービス事業部 サイバーセキュリティサービス本部 第三部第一グループ 技師のチン ティーフオンチ氏は、「Splunkの日本市場での評価は高く、当社のお客様の多くがSplunkを活用されていたのでかねてから注目していました。セキュリティの用途で活用されることが多いSplunkですが、最近は働き方改革など、セキュリティ以外で活用したいお客様が少しずつ増えている状況です」と説明する。

IT本部では、2018年7月にSplunkの動作検証をおこなった上で、正式に導入を決定。その後、導入計画を策定し、当面はADのログ収集に特化する形で、8月から本番運用を開始した。相談会からわずか3 ヶ月で稼働開始できた理由について、飯島氏はネットワークセキュリティサービス事業部の支援を強調する。「Splunkを稼働させるための仮想サーバーのスペックについて、スピーディかつ的確に回答を得られたことも短期導入に大きく役立ちました」

サポートを担当した、ネットワークセキュリティサービス事業部 サイバーセキュリティサービス本部 第三部 第一グループ 秋島 佳代子氏は、「サーバースペックについては、マクニカが提供してくれた導入支援ツールキットが調査に役立ったほか、解決できない部分についてはマクニカの担当者が迅速に支援してくれたため、スピーディにIT本部にフィードバックすることができました」と述べる。

ログ収集の重要性が明確になりSplunkの日常的な活用も模索

統合SOCにSplunkを組み合わせることによる効果は主に次の3つが挙げられる。1つ目は、ADログ収集作業の効率化。日立システムズでは、現在複数台のADサーバが稼働しており、従来は担当者が手作業で個々にログを収集し、統合SOCに集約していたが、現在はSplunkが複数台分のログを一括収集し、自動的に受け渡せるようになったことで業務負担が大幅に削減。大量ログインなどの不正アクセスも迅速にチェックできるようになった。

2つ目は、ユーザーからの問い合わせ対応の迅速化。パスワードを更新し忘れた端末や、アカウントがロックアウトした端末が発生した場合、従来はADサーバーを1台ずつチェックしてその原因を調査する必要があったが、現在はSplunkによる一括検索が可能になり、調査の手間と時間が大幅に削減できるようになった。

3つ目は、ネットワーク障害時の影響範囲の可視化。仮に広範囲にアクセス障害が発生した場合でも、ADのログを調査することで、どのユーザーグループがログイン不可の状況かを可視化できるため、障害の影響範囲を迅速に把握することにもSplunkは活用されている。「これまでは、影響範囲を調べるのに、運用者が手作業でADのログをバッチで拾い上げて調べていたため、特定まで1 ～ 2時間はかかっていましたが、現在はSplunkのおかげで調査のパスが増え、大幅に作業時間を短縮して特定できるようになりました」と飯島氏は評価する。

また、植田氏はSplunkの検索画面の有効性について指摘する。「Splunkでユーザーのアクセスログ調べる際、検索結果とともにログの件数が簡易的なヒストグラムで表示されるため、急激に立ち上がっていれば何かがあったと直感的に分かります。統合SOC分析者の知見を存分に活かすには、質の高いログを多く集めることが重要なため、このSplunkの簡易グラフ機能は非常に有効だと思います」

IT本部では、今後SQLサーバーやERPのログもSplunkに取り込むことも視野に入れ、担当部署と検討を進める考えだ。

Splunk導入後の社内の変化について、植田氏は「ログ収集の重要性が明らかになったことで、さらに広い活用が可能なのではないかという意識が生まれています。Splunkの日常的な活用も模索していきたいですね」と述べる。

そして飯島氏は、プロジェクトを振り返り、「統合SOCを活用したセキュリティ強化という命題に対して、Splunkという適切な機能が提供できたことは大いに満足しており、製品としても高く評価しています。社内システムや社内インフラのログをしっかりと調べるための有効な手段として、今後ますます活用できそうです」と総括する。

ITのライフサイクル全領域をカバーする日立システムズが認めたSplunk。その可能性は今後より多くの企業が実感していくことになるだろう。

写真は2017年10月に開設した日立システムズのSHIELD 統合SOC（Security Operation Center）。セキュリティアナリストが長年にわたり培ったノウハウに加え、外部機関のセキュリティインテリジェンス情報を活用し、高度な分析を実現。お客さま環境内のセキュリティインシデントの早期発見、迅速な解決、事業継続を支援します。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら