ページの本文へ

Hitachi

トータルセキュリティソリューション

ゼロトラストセキュリティソリューション セキュリティイベントの監視・分析・対応を自動化|確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできるさまざまなセキュリティニーズに対応したソリューションを提供

【ゼロトラストセキュリティ】

セキュリティイベントの監視・分析・対応を自動化

Splunk Enterprise / Enterprise Security・Splunk SOAR

デバイスやクラウドサービスなどのログ管理やインシデント対応を自動化し、セキュリティ担当者の業務効率化と業務品質の均一化を実現します。

こんな課題に

  • セキュリティ人材が不足している
  • セキュリティアラートが大量でセキュリティインシデントの検出、判断、対応に時間がかかる
  • 複数ベンダの製品を利用しているが、製品間の連携がなく統制がとれていない

ゼロトラストセキュリティにおけるSIEM/SOARの役割

近年、DXの実現やテレワークの推進によりビジネス基盤がクラウドに移行しつつあり、これまでの境界防御型のセキュリティ対策では対応しきれなくなっています。
そこで、すべてのアクセスを信用しない前提でセキュリティ対策を考える「ゼロトラストセキュリティ」が求められています。ゼロトラストセキュリティの実現にはさまざまなセキュリティ製品/サービスが導入されますが、その分取得するログも膨大になり、セキュリティ担当者はログの監視や脅威分析に時間を取られるという新たな課題が発生します。
SIEM/SOARは、各種セキュリティ製品/サービスと連携し収集したログ/イベント情報を分析。サイバー攻撃などのセキュリティインシデントを検出、一次対処まで自動化することでセキュリティ担当者に掛かる負荷を軽減し、業務の効率化を実現します。

ゼロトラストセキュリティにおけるSIEM、SOARの役割

SplunkのSIEM/SOAR

日立ソリューションズではSplunk社のSIEM製品「Splunk Enterprise / Enterprise Security」SOAR製品の「Splunk SOAR」を提供しています。
「Splunk Enterprise / Enterprise Security」は脅威検知・データ収集・データ分析・リスクの可視化を担っており、脅威情報や分析結果を「Splunk SOAR」に連携します。Splunk SOARは、脅威情報や分析結果をもとに脅威判定・一次対処・影響範囲調査・トリアージを自動化します。
この連携により、従来SOCやCSIRTで課題となっていたセキュリティ人材のスキルやリソース不足を解消し、セキュリティ運用の「高度化」、「効率化」、「迅速化」を実現します。

SplunkのSIEM/SOAR

Splunk Enterprise / Enterprise Securityの特長

システムやネットワーク機器、セキュリティ機器から集められたログ・イベント情報を分析し、サイバー攻撃や情報漏洩などの内部不正となるセキュリティインシデントを検知します。

  • 高度な脅威の検出
    さまざまな種類のログを収集。相関ルールにもとづくサーチを実施することで、検知精度を高めます。相関ルールは定期的にアップデートされ新たな脅威への継続的対応が可能です。
  • インシデント調査・フォレンジック
    ダッシュボード上で、セキュリティインシデントに関連するアクティビティとその影響範囲を一元的に調査することができます。
  • インシデントレスポンス
    セキュリティイベントのリスクスコアリングや優先順位付けを行い、重大なインシデントに対する迅速な対処を支援します。

Splunk SOARの特長

セキュリティ運用の自動化を実現。インシデントの早期対処やセキュリティ運用の作業品質の底上げ・属人性の排除を実現します。

  • 自動化
    従来SOCやCSIRTが手作業で行っていた定型的な作業を自動化することにより、セキュリティインシデントのアラート処理にかかる時間を大幅に短縮。人による作業品質のばらつきも解消します。
  • オーケストレーション
    300以上のアプリケーションと1,800以上のAPIがサポートされたオーケストレーション機能により、多数の製品と連携し、生産性を向上します。
  • コラボレーション
    セキュリティインシデントの影響調査や対処状況をチーム内外で共有可能。対応状況を可視化することでチーム間のコミュニケーションを効率化します。

Splunk Enterprise / Enterprise Security・Splunk SOARの導入効果例

サンドボックスが不審ファイル付きのメールを検知した場合、

・メール受信ユーザーの特定
・ファイルを脅威情報と突合せし、誤検知かどうか判断
・他の環境に同じファイルがないかスキャン
・マルウェアが見つかったデバイスの隔離

など行う必要があります。Splunkによる自動化により、担当者の作業負荷を軽減し、作業品質のばらつきを解消。対応時間の短縮も実現します。

  • ●導入前

    ・負荷の高い、煩雑なインシデント対応
    ・作業漏れ、作業者ごと作業品質のばらつきが生じるリスク
    ・対応の遅れ

    Splunk Enterprise / Enterprise Security・Splunk SOARの導入前

  • ●導入後

    ・作業負荷の軽減
    ・作業漏れ、作業者ごと作業品質のばらつきが生じるリスクの解消
    ・対応時間の短縮化

    Splunk Enterprise / Enterprise Security・Splunk SOARの導入後

資料請求・お問い合わせ

ページの先頭へ