マクニカネットワークス、Splunk Enterpriseを利用したパブリッククラウド向けSIEMアプリを提供

　マクニカネットワークス株式会社は23日、統合ログ解析・管理ツール「Splunk Enterprise」向けのSIEM（Security Information and Event Management）アプリケーション「Cloud Security Monitoring App」を提供開始すると発表した。

　「Cloud Security Monitoring App」は、パブリッククラウドサービスに対する最新のサイバー攻撃に対処するため、SIEMに求められる機能群とメカニズムを搭載した、Splunk Enterprise用のアプリケーション。これを利用すると、高度な検知ルールの実装やチューニング、アラート管理、検知後の調査を行え、マルチクラウドのセキュリティ対策に必要なSIEM運用を迅速に立ち上げられるという。

　具体的には、「アカウントハイジャック」「脆弱なAPI利用」「容易な外部とのデータ共有モデルによるデータ漏えい/持ち出し」「サービスプロビジョニングモデルによる可視化が困難」といった、クラウドサービス特有のリスク対策をベースに開発されており、外部からの攻撃だけでなく、ユーザー起因により起こり得るインシデント対策も行えるとした。

　また、従来のセキュリティ運用では各製品の管理画面にてそれぞれのアラート管理やモニタリングを行っていたが、Splunkを活用することにより、単一の製品にて複数のパブリッククラウド、またオンプレミス環境とのハイブリッド環境のアラート集約と統合的なモニタリングが可能になるため、効率的なセキュリティ運用を実現できるとのこと。

　さらに、Splunk Enterpriseをベースとして開発されているので、検知ロジックやダッシュボードの柔軟なカスタマイズが可能。パブリッククラウドサービス事業者が提供するクラウドネイティブのセキュリティサービスではカバーできない、自社固有のセキュリティリスクに対応した検知ロジックも実装できるとしている。

　なお、パブリッククラウドサービスの主要サービスであるストレージ、コンピュート、IAM、ネットワークは、アカウント権限等の重要情報を多く保有しているため、優先的にセキュリティ対策に取り組む必要がある。このため同アプリケーションでは、これら4つの主要サービスを対象に、相関検知ルールと各サービス用のダッシュボードを開発している。

　加えて、無駄なく迅速にアラートに対応するため、アラートトラッキング（オーナー割り当て/ステータス管理など）の仕組みや、アラート優先度の自動割り当て、多角的なフィルタリングなど、効果的なアラート対応管理の仕組みとダッシュボードを初期搭載。このほか、SOC実務で必要となる、多様な切り口での解析を可能にする多数のダッシュボードも搭載している。

アラート対応管理のダッシュボード例

詳細解析用のダッシュボード例

　なお、「Cloud Security Monitoring App」は初期導入作業と初年度サポートをバンドルしたパッケージとして提供。ラインアップには、1つのパブリッククラウドを対象とした「簡易パッケージ」と、2つのパブリッククラウドを対象とした「スタンダードパッケージ」を用意する。価格（税別）はそれぞれ、490万円、780万円。