独自のクラウドサービス基盤で
高信頼性のSplunk Enterpriseを提供する
MDISセキュリティログ分析サービス

サイバー攻撃の高度化やハイブリッドワークの普及により、従来の境界型防御だけではセキュリティを維持することが難しくなっています。こうした中、新たな対策として注目を集めているのが、多種多様な機器からログを収集して解析し、脅威をいち早く検知するセキュリティ情報イベント管理（SIEM（Security Information andEvent Management：シーム））です。三菱電機インフォメーションシステムズ株式会社（MDIS）では、MDIS独自のクラウドサービス基盤でSIEMを運用する「MDISセキュリティログ分析サービス」を提供しています。ゼロトラストを意識したセキュリティ対策等の様々なユースケースに有効なSIEMを、クラウドサービス（SaaS）として利用できるため、最小限の導入負荷でセキュリティレベルを高めることができます。

左から、役員待遇理事 金融第一事業部長 田名網淳夫氏、
金融第一事業部 セキュリティ・ソリューション部 コンサルティング課 シニアサーティファイドプロフェッショナル 伊串亮二氏、
金融第一事業部 セキュリティ・ソリューション部 コンサルティング課 西牧瑚子氏、
金融第一事業部 営業第一部第三課 サーティファイドプロフェッショナル 佐藤洋平氏

これまでのネットワークセキュリティといえば、ファイアウォールや侵入防御装置（IDS/IPS）といった仕組みにより、外部からの攻撃をブロックするのが一般的でした。しかし近年、ランサムウエア攻撃や標的型攻撃といった新たな脅威が日々進化しており、より進んだセキュリティ対策を講じる必要に迫られています。こうした中で注目度が高まっているのが、ネットワークの内部で発生するセキュリティイベントを監視し、それらを分析することで脅威をいち早く検知するSIEMです。

役員待遇理事で金融第一事業部長の田名網淳夫氏はSIEMの特長を次のように語ります。

「SIEMは、ネットワーク内部に脅威が侵入することを前提に、ネットワークデバイスやセキュリティ機器などから複数のログを収集し、相関分析によって異常を検知するものです。それらの情報をもとに素早い対応を取ることで、被害を最小限に食い止めることができます」

SIEMの導入においては、ソフトウエアの導入だけでなく、多種多様な機器からログを収集する仕組みを構築・運用する体制の整備などが必要となります。そこでMDISは、長年にわたるSIEMの導入・運用ノウハウを活かして、ログ分析基盤で世界市場をリードするSplunkEnterpriseをクラウドサービスとして提供する「MDISセキュリティログ分析サービス」をリリースしました。

「MDISはSplunk社が日本法人を立ち上げた2012年より、銀行や証券会社などの金融機関に向けて、Splunk Enterpriseによるログ分析システムを構築・運用してきた実績があります。こうしたノウハウを活かし、業種を問わず多くのお客様にお使いいただけるよう、構築作業が不要で最小限の導入負荷で利用が開始できるサービスを提供することにしました。これにより初期コストの抑制や導入期間の短縮を実現できます」（田名網氏）

MDISセキュリティログ分析サービスの概要

「MDISセキュリティログ分析サービス」で採用したSplunkは、ガートナーのSIEM部門のマジック・クアドラントにおいて10年連続でリーダーに選出されています。MDISは、独自のクラウドサービス基盤「MDIS Service Cloud」（MSC）上で運用することでさらなる付加価値を提供しています。金融第一事業部 セキュリティ・ソリューション部 コンサルティング課の西牧瑚子氏はMSCの特長について次のように語ります。「MSCは、24時間365日の有人運用によるクラウド基盤です。サービス品質を向上させる高信頼な機能ライブラリ群と、クラウドセキュリティの安全性を担保する枠組みを備えています」

MDISは、クラウドサービスとしてSplunkEnterpriseを提供するにあたり、クラウドネイティブなアーキテクチャとなるよう再設計しました。開発を担当した金融第一事業部 セキュリティ・ソリューション部 コンサルティング課 シニアサーティファイドプロフェッショナルの伊串亮二氏は次のように語ります。

「従来型のサーバー環境をクラウドに移行する“クラウドリフト”ではなく、アプリケーションの実行環境をパッケージ化するコンテナ技術を採用してよりスケーラブルな構成とし、運用の自動化も見据えた“クラウドシフト”を実施しました。セキュリティについては米国標準技術研究所（NIST）が発行しているアプリケーションコンテナセキュリティガイド（NIST SP800ー190）に準拠しています」

MDISならではのさらなる付加価値は、2012年から金融機関向けにSplunk Enterpriseを提供してきた豊富な実績に基づき様々なユースケースに対応できることです。

「例えば、エンドポイントのデバイスからウイルス対策ソフトやWebアプリケーションファイアウォール（WAF）のログを収集することで、ランサムウエアやマルウエアなど外部から侵入してきた脅威をいち早く検知することができます。また、ルーター、スイッチ、ファイアウォールのログを収集することで、不正アクセスや異常な通信を検知し、内部関係者による情報漏洩の防止などに役立てることも可能です。様々なログを収集して相関分析を実施することにより、将来の脅威を予測することもできます」（西牧氏）

「MDISセキュリティログ分析サービス」の導入は容易です。利用を開始するまでの流れは、お客様から利用申込書を申請していただき、会社情報や利用ログ量の回答をいただきます。契約が完了した後は、MDISが提供する利用ガイドに沿って、ログ収集対象のサーバーにエージェントソフトをインストールして環境を準備します。その後、MDISより提供するID/パスワードでログインすることでサービスの運用開始となります。

導入時はMDISの担当者がお客様にヒアリングを実施したうえでサービスを開始するまでを全面的に支援します。金融第一事業部営業第一部第三課 サーティファイドプロフェッショナルの佐藤洋平氏は次のように語ります。

「まずはお客様が想定する監視対象と、取得するログ量をヒアリングし、容量に応じた環境を準備いたします。スモールスタートが可能で、段階的に監視対象のデバイス、ネットワーク機器、システムを増やすこともできます。また、一定期間利用できる“お試し環境”を用意しています。本番とほぼ変わらない環境で使用感や運用方法を体感し、納得したうえで本番利用に移行していただくことをお勧めします」