[市場動向]

次世代セキュリティ対策SIEMの注目製品「Splunk」

2016年3月28日(月)杉田 悟(IT Leaders編集部)

情報セキュリティ対策の新しい潮流として注目されているSIEM(Security Information and Event Management:セキュリティ情報・イベント管理)。聞き覚えのない方も多いかと思うが、ガートナーのMagic Quadrantでも1つのマーケットとして取り上げられているセキュリティの成長分野だ。国内では、IT感度の高い企業が率先して導入している程度だが、「次世代のセキュリティ対策製品」として注目が高まりつつある。なかでもMagic Quadrantでリーダーの1社に上げられているSplunkは、ビッグデータ分析やIoTでも使える統合ログ管理製品ながら、その1機能としてSIEMを提供、導入事例を増やしている。

 SIEM(シーム)は、統合ログ管理とイベント管理を行うセキュリティ対策ツールだ。ネットワーク機器やサーバー、エンドポイントまで、社内システムの多くが、その行動履歴となるログを大量に吐き出している。このログを解析することで、情報漏洩につながる不審な動きや外部攻撃の経緯などを発見することができる。これが統合ログ管理。

 一方、ログを解析して不審な動き、イレギュラーな動きを感知したことを運用者に自動的に通知するアラートを管理するのが、イベント管理。ログとイベントを照らし合わせて分析することで、精度の高い検知を行えるのがSIEMの特徴だという。

 2015年のガートナーMagic Quadrantを見ると、リーダーの位置を占めているのがIBMの「IBM Security Qradar」、HPの「HP ArcSight」、Intel Securityの「McAfee SIEM」、LogRhythmの「LogRhythm」、Splunkの「Splunk」という5つの製品だ。QradarとArcSightは、IBMとHPがそれぞれ2011年と2010年に買収した企業の製品。

 SIEMは、セキュリティ対策を目的とした製品分野だが、この5つのリーダー製品のうちSplunkは、セキュリティ専用の製品ではない。もともとは、トラブルシューティング用のログ分析ツールとして開発されたものだ。その後マーケティングなど、様々な分野に参入している。その1つがセキュリティ分野だ。

Splunk日本法人の小松原貴司氏

 Splunk日本法人のシニア・セールス・エンジニアである小松原貴司氏によると「Splunkは、企業内に増えてきたマシンの障害を1つの画面で確認したいというニーズから生まれたもの」だという。そしてそのコアとなるのが、「様々なプラットフォームのシステムからログを収集し、一覧できる機能」だ。

 様々なプラットフォームからログを収集できるということは、当然セキュリティ対策製品からも収集できる。結果的に複数のセキュリティ対策製品からログを収集して、一元的に管理するというニーズが高まり、一般的なセキュリティ対策製品のインターフェースを参考にした、セキュリティ専用の画面セットを開発した。

 これを「Apps」という形で提供するようになったことがきっかけで、例えばWebのアクセスログやマーケティングなど、様々な画面セットのニーズが出てきた。画面セットはJavaScriptやHTMLなど汎用的なアークテクチャーで開発できるため、サードパーティからの開発も始まり、現在は画面セットのエコシステムとして機能しているという。

 更にSplunkは、セキュリティニーズの高さに応えるため、大企業でも利用できるエンタープライズセキュリティのAppsを開発した。これがSIEM製品として多くの企業に導入され、SplunkをSIEMマーケットのリーダーに押し上げることにつながった。現在SIEMマーケットシェアでSplunkは、IBMのQradarに続く第2位のポジションを獲得している。

 従来の監視システムと比べると、様々な種類のデータを柔軟に取り込むことができるのがSplunkの特徴といえる。Splunkは、セキュリティログに限らず、様々な種類のログを収集してきた歴史がある。そのノウハウをつぎ込んで、汎用化したエンジンを開発した。未対応の言語やアーキテクチャーがあっても、大抵はパラメーターの組み合わせで対応できるという。

 小松原氏が「これからのSplunkで注目して欲しい」と力説するのが「IT Service Intelligence(ITSI)」という新分野だ。クラウドであろうが、仮想環境であろうが、「サービス」単位の稼働状況をSLA(Service Level Agreement)の観点で監視するという機能で、「Splunkが提唱している新たなサービス」だという。

 Googleを筆頭に、米国の大規模データセンターやISP(Internet Service Provider)では、もはやサーバーは使い捨ての時代に入っている。サーバー1台あたりのコストを抑え、壊れることを前提にシステム設計を行っている。障害の影響を最小限に抑えるため、1アプリ1サーバーで運用することが多く、停止したサーバーをすぐに新しいものに交換する。そのような場面でITISを使うことにより、いち早くサーバーの不調を検知し、最小限のダウンタイムで交換することが可能になるという。

 今後は、モバイルログの収集やHadoop対応に注力していくという。また、Microsoft AzureやAmazon Web Servicesといったクラウドサービスも幅場広くカバーしていく。その狙いは「IoTやビッグデータ」だという。様々なシステムからログを収集する機能が、IoTにはもってこいというわけだ。

関連キーワード

SIEM / Splunk / ログ管理 / LogRhythm / QRadar / ArcSight / ゼロトラスト

関連記事

トピックス

[Sponsored]

次世代セキュリティ対策SIEMの注目製品「Splunk」情報セキュリティ対策の新しい潮流として注目されているSIEM(Security Information and Event Management:セキュリティ情報・イベント管理)。聞き覚えのない方も多いかと思うが、ガートナーのMagic Quadrantでも1つのマーケットとして取り上げられているセキュリティの成長分野だ。国内では、IT感度の高い企業が率先して導入している程度だが、「次世代のセキュリティ対策製品」として注目が高まりつつある。なかでもMagic Quadrantでリーダーの1社に上げられているSplunkは、ビッグデータ分析やIoTでも使える統合ログ管理製品ながら、その1機能としてSIEMを提供、導入事例を増やしている。

PAGE TOP