Written by 葛間 裕司
営業本部にて、LANSCOPEの各種ログをSplunkに取り込んでお客様のセキュリティ対策に活用できるレポートの作成や提案しています。これまでなかった活用方法を提案できるよう日々模索しながら取り組んでいます。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
はじめに
人の操作による情報漏えいを発生させないようにするための施策、システムの脆弱性等をついたサイバー攻撃への対策など、情報セキュリティ対策はすべての企業・団体にとって取り組むべき経営課題となっています。
LANSCOPEで収集する各種データについても、インシデント対応に利用されることが増え、リアルタイムにレポーティングする仕組みや、他システムのデータと連動する仕組みを、お客様からご要望いただくことが増えました。
このようなニーズにお応えするべく、2019 年にリリースしたLANSCOPE オンプレミス版のバージョンにて、リアルタイムに SIEM 製品へ Syslog を転送する機能を追加しました。これにより、LANSCOPE オンプレミス版で取得した操作ログを、リアルタイムに転送しSIEM製品上で把握、例えば緊急対応を要するマルウェア感染時には、即座に流入経路や感染原因などを調査する仕組みを構築できるようになりました。
弊社では SIEM 製品カテゴリで長年リーダーとなっている「Splunk Cloud Platform」を自社導入し、運用を開始しました。Splunk 導入当初はインシデント対応用のレポートを社内で作成。その後、自社運用のために作成したレポートを、LANSCOPEユーザー様にも活用いただけるようAppとしてSplunkbaseに公開しました。Appを利用することで、レポートのフォーマットを作成することなく、連携後、すぐにLANSCOPEで取得した情報の見える化が可能となります。
運用を開始してから約3年が経過、その後の弊社におけるSplunkの活用状況についてご紹介します。
LANSCOPE オンプレミス版×Splunk Cloud Platformを
3年運用してみた結果は?
結果としては、Splunkと LANSCOPE オンプレミス版のデータの親和性が高く、人的ミス等からのインシデント発生時はもちろん、使用頻度の低いソフトウェアや Web サービスを調査するなど、両製品の強みを活かした運用が実現できています。
Splunkの強み
- SPL (Search Processing Language) というサーチ言語が扱いやすい
- 抽出した統計データをグラフ表示するなどの可視化が容易にできる
- スクリプトの埋め込みなどの拡張性が高い
LANSCOPE オンプレミス版の強み
- レジストリやアンケート情報など、任意の値も含めたインベントリ収集力
- 人のPC操作に特化した操作ログ
毎年 IPA から情報セキュリティ10大脅威が発行されていますが、2019年から2022年からの脅威手法は、順位は変われど、大きな変化はありません。また、注目すべきポイントは、脅威の対象は「システム」か「人」のどちらかであるということです。LANSCOPE オンプレミス版で「システム」に関する情報と「人」の操作に関する情報を収集し、Splunk で即座に見える化を図る。これが、両製品の強みを活かした運用の真髄といえます。
▼2022年 情報セキュリティ10大脅威・2019~2022年TOP10ランクイン回数(MAX4回)
※引用:IPA「情報セキュリティ10大脅威2022」
約3年運用してみた結果は?
テレワークで業務状況が見えない場合でも、データ持ち出し操作をアラームとして設定することで、外部への情報持ち出しを目視でチェックする作業が不要となりました。情報を持ち出す懸念があるクライアントが見つかった場合、これまではデータの持ち出し状況を確認するためLANSCOPE オンプレミス版のWebコンソールから過去数ヶ月に遡って条件にマッチしたログをいくつかダウンロードし、そこから注意すべきWebサイトへの持ち出しがないかなど、複数の条件を指定して調査していました。そのため、1名分の持ち出し状況の調査に約3時間と多くの作業工数を要していました。
Splunk を利用した場合、内部不正を確認できるダッシュボードでログオンユーザーを指定すれば、調査すべき外部持ち出しファイルの一覧が表示されます。これにより、約3時間かかっていた作業が、約10分となり大幅な時間短縮に成功しました。
このような人の操作による情報漏えい対策用に「内部不正対策App」をご用意しております。LANSCOPE オンプレミス版で取得した操作ログを元に、「持ち出し件数順」や「種別毎のランキング」などを見える化できます。
また、Splunk ではスクリプトの埋め込みが可能です。JVN 発行の脆弱性レポート情報を自動収集するスクリプトを作成し、LANSCOPE オンプレミス版で収集したインベントリ情報と突合して、社内利用のソフトウェアの脆弱性を把握する「ソフトウェア脆弱性管理App」もご用意しております。AppはPOCなども可能なのでご興味ございましたらお試しください。
クラウドシフトのニーズに対応!
ついにLANSCOPE クラウド版と連携
昨今の様々な社内システムのクラウドシフトは、IT資産管理ツールにおいても例外ではなく、LANSCOPE クラウド版の導入を検討する企業も増えています。このような背景を踏まえ、2022年7月、LANSCOPE クラウド版においてもSplunkと連携する機能を実装しました。また、LANSCOPE オンプレミス版で多くの企業様へご利用いただいた LANSCOPE App と同等の App もリリースしております。自社用にカスタマイズすることでログ分析・モニタリング・レポート作成の効率化にも効果が期待できるかと存じますのでぜひご活用ください。
今後、LANSCOPE クラウド版の「ソフトウェア脆弱性管理App」および「内部不正対策App」のリリースも予定しておりますので、ご期待ください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事