マクニカネットワークスは2019年7月30日、ログデータを収集して分析するソフトウェア「Splunk」を活用してセキュリティ運用を支援するSIEM運用監視サービスを開始すると発表した。SOC(Security Operation Center)業務をアウトソーシングできる。
セキュリティ運用の現場では、相関分析による脅威検知などのスキルが必要な作業があるほか、インシデントに対応するセキュリティ人材を確保する必要がある。こうした課題に対してマクニカネットワークスは、SplunkをSIEMとして活用したSOC業務のアウトソーシングサービスを開始した(図1)。
図1:Splunk基盤を活用したSIEM運用監視サービスの概要(出典:マクニカネットワークス)拡大画像表示
SIEM運用監視サービスでは、Splunkを利用して膨大なアラートを分析し、対処が必要になるクリティカルなアラートを精査し、ユーザーにエスカレーションする。相関分析スキルや分析者の工数の不足という課題を解消し、セキュリティの向上と組織運用の効率化を図れる。
ユーザーが持つSplunkに対して、マクニカネットワークスが独自に開発したSOC Appを実装する。SOC AppとSOCセンターが連携し、Splunk内のログデータを相関分析する。SOCオペレーターがログを追加調査することで、対応が必要な脅威をあぶり出す。
オペレーターは、Splunkを利用してインシデントをトリアージし、可能な限りの調査を進め、ユーザーに状況を報告する。ユーザーは、オペレーターからの調査依頼・アドバイスに応じて、インシデントに対応する。
プランは2つある。「Standardプラン」は、最低限必要なログを指定し、脅威を検知する。「Enterpriseプラン」は、セキュリティ機器のアラートのトリアージも対象にする。
