昨今、テレワークの普及によりAWSやAzure、GCPといったパブリッククラウドサービスの利用が増加している。それに伴い、クラウド固有の特性であるAPIやマルチユーザとの共有モデル等を悪用したサイバー攻撃も増加している。
対策においては、パブリッククラウドサービス事業者が提供するクラウドネイティブセキュリティサービスがあるが、複数のクラウドサービスを横断的に監視するためには、SIEMを活用したログの監視や、自社特有のクラウドセキュリティポリシーに準拠したルールの実装などが必要である。
マクニカネットワークス株式会社は、Splunk Enterprise向け「Cloud Security Monitoring App」の提供を開始した。
同Appは、急速に利用が高まったパブリッククラウドサービスに対する最新のサイバー攻撃に対処するため、SIEMに求められる機能群とメカニズムを搭載したSplunk Enterprise用のSIEM-Appである。以下の3つの特徴と3つの機能群が初期実装されており、検知能力と運用効率の向上に貢献する。
特長
- クラウド固有のリスク対策用に開発されたApp
- マルチクラウド、ハイブリッド環境の統合管理
- 要件に応じて検知ロジックを柔軟にカスタマイズ可能
同Appは、アカウントハイジャックや脆弱なAPI利用等のようなクラウドサービス特有のリスク対策をベースに開発されており、外部からの攻撃だけでなく、ユーザ起因により起こり得るインシデント対策も実現する。
従来のセキュリティ運用では各製品の管理画面にてそれぞれのアラート管理やモニタリングを行っていたものが、Splunkを活用することにより単一の製品にて複数のパブリッククラウドサービス、オンプレミス環境とのハイブリッド環境のアラート集約と統合的なモニタリングが可能となり、効率的なセキュリティ運用を実現できるという。
同AppはSplunk Enterpriseをベースとして開発しているため、検知ロジックやダッシュボードの柔軟なカスタマイズが可能だ。パブリッククラウドサービス事業者が提供するクラウドネイティブセキュリティサービスではカバーできない、自社固有のセキュリティリスクに対応した検知ロジックの実装が可能である。
機能
- 相関検知ルール
- アラート対応管理メカニズム
- 詳細解析ダッシュボード群
パブリッククラウドサービスの主要サービスである、ストレージ、コンピュート、IAM、ネットワークは、アカウント権限等の重要情報を多く保有しているため、優先的にセキュリティ対策に取り組む必要がある。同Appは上記4つの主要サービスを対象に相関検知ルールと各サービス用のダッシュボードを開発している。
迅速にアラートに対応するため、アラートトラッキング(オーナー割り当て/ステータス管理など)の仕組みや、アラート優先度の自動割り当て、多角的なフィルタリングなど、効果的なアラート対応管理の仕組みとダッシュボードを初期搭載している。
SOC実務で必要となる多様な切り口での解析を可能にする多数のダッシュボードを初期搭載している。
同Appを利用することにより、より高度な検知ルールの実装やチューニング、アラート管理、検知後の調査を行うことができ、マルチクラウドのセキュリティ対策に必要なSIEM運用を迅速に立ち上げることができる。
なお、同Appの価格は、1つのパブリッククラウドを用いる簡易パッケージは490万円、2つのパブリッククラウドを用いるスタンダードプランでは780万円となっている。