セキュリティサービス企業のラックは2018年3月7日、企業内のITインフラ機器のログの一元管理や分析を行う統合ログ管理ソフト「Splunk Enterprise」(米Splunkが開発)を運用・監視する「SIEM監視サービス」を発表した。2018年4月1日から提供する。ラックのセキュリティ監視センター「JSOC」がユーザーに代わってログ管理製品を運用し、脅威に対応する。価格(税別)は、月額92万9000円から。販売目標は、2018年度に20社以上。
図1●SIEM監視サービスの概要(出所:ラック)拡大画像表示
巧妙なサイバー攻撃への対策として、企業内の様々なサーバーやネットワーク機器などからログを収集して管理することが求められている。こうした要件のための製品として、複数の機器のログを収集・分析するSIEM(シーム:Security Information and Event Management)製品がある。
しかし、収集した多種多様なログからサイバー攻撃の痕跡を見つけて対処するためには、専門的なセキュリティの知見が必要になる。また、膨大なログを監視する体制を構築・維持しなければならない。一方、ラックでは、セキュリティ監視センターのJSOCにおいて、1日14億件のログ解析を行っている。
今回ラックは、SIEMの1つであるSplunk Enterpriseをユーザーに代わって運用し、収集されたログを24時間365日監視するサービス(SIEM監視サービス)を開始する。Splunk Enterpriseを未導入のユーザーに対しては、製品の導入から運用・監視の体制構築までトータルで支援する。
SIEM監視サービスの内容は、標的型攻撃と出口対策で有効なプロキシ製品のログ分析から始め、その後、Active DirectoryやDNSサービスなどに順次拡大する予定である。単一機種だけの監視では見えてこない新たな脅威を、多角的な分析で発見するとしている。
なお、Splunk Enterpriseは、サーバー、ネットワーク機器、OS、アプリケーションなど、各種のデバイスやソフトウェアが出力する任意のテキスト形式のログを収集し、これをインデックス化して管理する。これにより、ITシステムに起こっている障害をリアルタイムに検知して対処方法を探ったり、蓄積データに見られる動向を元に障害の予兆を見出したりできる。
