Splunkは、千葉大学の学術情報基盤システム（基幹ネットワーク、メールシステム、研究用の高速演算サーバ、自習用の教育用端末などを統括するシステム基盤）の保守契約満了に伴う新規調達に合わせて、2016年9月に情報基盤システムのログ管理の一環として導入提案が行われ、入札の結果採用が決定。新学術情報基盤システムの構築完了後、2017年3月に本稼働を開始した。

Splunkで集取している主なソースは、DNS、LDAP、DHCP、無線LANコントローラー、プロキシ、Webメール、多要素認証、メールサンドボックス、IPS、Active Directoryなどで、主に次の4つの目的で活用している。1つ目はユーザの通信の監視。プロキシやIPS（不正侵入防御システム）での検知、DNSクエリ状況、DHCP取得情報など、重要な検知情報をSplunkで管理者へメール通報する。2つ目は無線LANの利用状況の把握。無線LANコントローラーへの接続、認証、DHCP取得情報などを収集する。3つ目はWebメールのログイン・操作履歴の確認。ダッシュボードでリアルタイムにログイン失敗者などを確認し、外部からのWebメールのログインや多要素認証関係など、OTPの送信状況把握もダッシュボードで使いやすくしている。そして4つ目は利用者番号やIPアドレスなどの基本的な情報をキーにした横断検索。例えば、プロキシ検知→発信ホストのIPアドレスからDHCPリース履歴ヒット→無線LANホストの場合は、接続時の認証からユーザIDを特定する運用を行っている。

Splunkの導入で、データのフォーマットを問わずキーワードでの検索が可能になり、仮にWebメールでインシデントが発生してもメールアドレスで簡単に横断検索できるようになったほか、一度に複数台のサーバをほぼリアルタイムに検索できるメリットは大きいという。「これまでは、ログの量が多い場合はフォーマットを再定義するプログラムを作り、下処理でログを整形してからgrepしていました。Splunk導入後には下処理がほとんど不要になり、全く次元が違うほど楽になっています」と評価するのは、統合情報センターの中村氏だ。ファイアウォールはログが膨大なため、毎日処理するのに7～ 8時間かかり、前日分の分析結果が夕方に出る状況だったが、Splunk導入後はファイアウォールのログを必要なものだけ抽出することができるので、処理が簡素化するとともに、即時に結果が出るので、タイムラグなしにC-csirtへアラートを飛ばすことが可能になったという。

C-csirtチームも大きなメリットを感じているという。C-csirt専任スタッフの鈴木氏は、「全部のログを四六時中監視するのは難しいため、Webメールのログイン監視とボットネット検索に絞り、特に注意が必要なクリティカルなログだけをメールで通知してもらえるよう統合情報センターに依頼しています。そうしたことで、C-csirtでもリアルタイムに情報が得られるようになりました」と述べる。

同じC-csirt専任担当の長谷川氏も、「千葉大学ではセキュリティを大幅に強化したことで大きなインシデントは発生していませんが、Splunkからメールで通知されることによって、調査の初動が速くなり、分析の優先順位が明確になるという効果も期待できます」と分析する。

また、千葉大学ではWebメールを外部から活用する場合はワンタイムパスワード（OTP）を併用しており、過去30分のOTP状況を調べることで誰がどの宛先に送っているのか、誰がログインに失敗したかなどの痕跡もSplunkのダッシュボードで把握できるという。統合情報センターの清宮氏は、「Splunkのダッシュボードはセキュリティばかりではなく、通常のシステム運用や障害対応、利用者サービスにも活用できる可能性を感じています」と話す。

今後、千葉大学では、現在未収集となっている一部のメールサーバログや、仮想ドメインを利用して各学部・研究センターに設置している公開Webサーバのログ、教員や大学院生が利用するリモートアクセス用VPNのログなどもSplunkに追加していく予定だ。また、ネットワークトラフィックの可視化にもチャレンジしていくという。

C-csirtのチームリーダーを務める今泉氏は、「Splunkによって強化されたセキュリティがさらに補完され、以前よりもさらに安心・安全な情報システム環境が実現しています。さまざまな脅威が日々登場していますが、それに対応するために、これからもSplunkの有効な活用方法を見出しながら対応していきたいと考えています」と語る。