ICTインフラをAWS上で構築しクラウドセキュリティにSplunk Cloudを採用

ニッコールグループは、長年培った界面・コロイド化学技術を活用した高品質な製品を生産するメーカーとしての側面と、それらを柔軟な価格帯で提供する商社的機能を併せ持つ企業集団だ。世界中に独自のネットワークを持ち、化粧品、医薬品、食品、洗剤、一般工業原料などの多様な分野で最新ニーズに適した素材製品を供給。同時に、それらを活用する企業の新商品開発に向けた企画立案から、処方開発、商品化まで一貫してサポートすることで、幅広い業界から高い信頼を得て、多数の著名な顧客企業と長期の取引を維持してきた。その過程では、原料の調合や独自の処方など高度な機密情報も共有する関係にあるため、サプライチェーンの維持とともに、情報セキュリティの強化にも特に注力している。

グループの中核企業である日光ケミカルズ株式会社（以下、日光ケミカルズ）は、サーバ等のICTインフラをAmazon Web Services（AWS）上で構築し、クラウド運用による事業継続と柔軟性を強化。そのクラウドセキュリティの一環として取り組んできたのが、2014年に導入した「Splunk Enterprise」でのログ収集・分析・可視化基盤によるインシデントの監視だ。2018年12月には「Splunk Cloud」に転換し、より可用性を向上させている。

また、これまで情報システム部門に包含されていた情報セキュリティ管理業務を独立させ、2019年4月に情報セキュリティ管理室を開設した。日光ケミカルズ 情報セキュリティ管理室 東原 雄一氏は、「Splunk Cloudを基盤に情報セキュリティの三大要素である機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を担保する専門組織を立ち上げ、当社が情報セキュリティに取り組んでいる姿勢を国内外に示したいと考えました」と語る。

Splunk EnterpriseからSplunk Cloudに変更したことで、AWS向けSplunk Appやadd-onをより活用しやすくなり、AWS CloudTrail、AWS Config、Amazon CloudWatch、AmazonS3などと連携するなど、AWS環境を可視化し、権限のないアクセスやネットワーク設定の変更など重要なアクティビティを収集できるようになったという。また、AWSのみならず、他のネットワーク系ログやSaaS系ログも広く収集している。

東原氏は、「Splunkはメジャーバージョンもマイナーバージョンも頻繁にアップデートするため、付随するadd-on（データ取得のためのプログラム）やApp（各ベンダー向けに作られたプログラム、レポート、アラート集）アップデートされます。そのため、常にトラッキングして更新をかけなければなりませんでしたが、Splunk Cloudはいつでも最新バージョンをサーバのセットアップをしなくても利用できるので管理も楽になりました」と話す。

Splunk Cloudが複数ログを可視化し単一ログでは把握困難な挙動も検知

Splunk Cloudの稼働以降、現在もチューニング中だが、AWSのログは全て取っているほか、各種のadd-onやAppsを活用することで、クラウド型ID管理・統合認証サービスのOktaや、ファイル共有サービスのBox、CASBソリューション、エンドポイントセキュリティ、クラウド管理型無線LANなど、10数種類ものソリューションからのログをSplunk Cloudへ収集している。今後はG Suite系のログも取る予定だという。

Splunk Cloudの導入効果について、東原氏は主なポイントを列挙する。第1は、高精度なSIEM（Security Information andEvent Management）の実現。セキュリティ管理者としては、各拠点のファイアウォールのログなど全てのログを常に監視しなければならないが、どこで・何が起きているのかを瞬時に把握することは非常に困難だ。Splunk CloudがSIEMを構築することでログの統合監視が容易になったほか、複数のログを多角的に可視化することで、単一のログの挙動だけでは把握できなかったおかしな挙動も把握できるようになるという。
「複数の拠点を持ち、管理対象のPCを多数抱える企業にとってSIEMは不可欠の要素。Splunk Cloudなら統合監視を実現し、クラウドからの挙動も把握できるようになるので、柔軟性の高い次世代SIEMを容易に実現できます」と東原氏は話す。

第2に、脅威のさらなる顕在化。SplunkCloudを導入することで、実害の有無を問わず大小の脅威の存在が明らかになると東原氏はいう。「これまで見えていなかった脅威が見えるようになることで、何も問題がなかったと思っていたことが、気付いていなかっただけだという事実が明らかになります。それは良いことですが、新たな対策も必要になるため、セキュリティ管理者は忙しくなるでしょう」

第3は、セキュリティグループとIAM（AmazonIdentity and Access Management）の可視化。AWSでは、EC2やELB（Elastic LoadBalancing）、RDS（Relational DatabaseService）などのインスタンス単位の通信制御に利用する仮想ファイアウォールとして利用できるセキュリティグループや、AWS操作の権限管理であるIAMが活用できるが、これらは容易に作ることができるので、セキュリティポリシーが乱立し、管理が困難になるケースが多い。Splunk Cloudは未使用のセキュリティグループやIAMを可視化できるため、不要なものを排除しておくようにすれば、トラブルや問題が発生した際の解決も迅速になるという。

add-on・Appsが豊富に存在するSplunk連携が容易で使い勝手も洗練

今後は、Splunk CloudでSplunk SecurityEssentials Appを活用し、アドホック検索、静的および動的な検索、視覚的な関連付けを行うことでさまざまな活動を特定するほか、脅威を的確に検出し、インシデント対応を最適化していく考えだ。また、Splunk Cloudの機械学習技術を応用して、社内での活動情報を共有していくことも視野に入れている。さらに、セキュリティ系のログのみならず、オペレーション系のログの集約も考えているという。「中小企業にとってもSIEMは必要な時代がくると感じています。そのような時にシステム運用が楽なSplunk Cloudは導入の敷居をさげると思っています。」

日光ケミカルズ 情報セキュリティ管理室 塩野 由理氏は、「Splunk Cloudには大きな可能性を感じています。今後は運用スキルを高めることで、Splunk Cloudのダッシュボードを通じて社内セキュリティ強化に貢献したいと考えています」と意気込みを見せる。

そして東原氏は、「Splunkは歴史が長く、公式や非公式のadd-on・Appsが豊富に存在するので、インテグレーションが容易な上に、使い勝手も洗練されています。できれば、公式としてセキュリティ系add-on・Appsで何がベストなのかを推奨していただけるとうれしいですね。また、マクニカは、Splunkに関する深い知見と多くの経験を持ち、新たなリリース機能に対してリアルに評価した結果を伝えてくれるので大変助かっています。今後もSplunkの進化とマクニカのサポートに強く期待しています」と語る。

日光ケミカルズが70余年にわたり革新してきたスペシャルティーケミカルビジネスを、これからもSplunkは支え続ける。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら