Splunk、次世代のデータ管理機能やセキュリティ製品を発表
米国時間6月11~14日に開催されたSplunkの年次カンファレンス「Splunk .conf24」で、次世代のデータ管理機能やセキュリティ製品が発表された。
新機能では、データの前処理や可視化を容易にする機能やデータ管理の強化が行われ、セキュリティとオブザーバビリティの向上が図られる。
Splunk Enterprise Security 8.0の発表やCisco Talosとの連携により、セキュリティチームのリスク管理や脅威への対応に革新がもたらされる見通し。
Splunkは米国時間6月11~14日、米国・ラスベガスで年次カンファレンス「Splunk .conf24」を開催している。12日には、次世代のデータ管理機能やセキュリティ製品が発表された。
Splunk 製品/テクノロジー担当 シニアバイスプレジデント(SVP) 兼 ゼネラルマネージャー(GM)のTom Casey氏は同日の基調講演で、「われわれの製品ビジョンは、企業のデジタルフットプリント全体にわたる可視性と洞察を提供し、セキュリティ、信頼性、イノベーションの速度を向上させるアクションを支援すること」だと説明。その上で、データはセキュリティとオブザーバビリティ(可観測性)の差別化要因であると強調した。
新たなデータ管理機能は、単一のパイプラインでデータを前処理し、エンドツーエンドの可視化を実現するものになる。加えて、「Splunk Cloud Platform」「Splunk Observability Cloud」とともに「Cisco AppDynamics」「ThousandEyes」を通じたデータの転送、共有、処理を強化する。
「パイプラインビルダー」は、Search Processing Language 2(SPL2)を利用してデータをフィルタリング、マスキング、変換、補強することで、データを簡単に加工し、コストを大幅に軽減する。パイプライン管理の選択肢として、データが社内ネットワークから外部に送信される前に詳細な処理を行いたい場合はユーザー自身で管理できる「Edge Processor」を、全てをクラウドで処理したい場合はSplunkがホストする新たな「Ingest Processor」を利用できる。
Ingest Processorは、「Splunk Platform」と「Splunk Observability Cloud」間でデータ管理を統合する。ログをメトリクスに変換し、エンドポイントとしてSplunk Observability Cloudに転送するための機能が追加されている。また、大量のデータを効果的に管理したい場合や、応答時間を最適化したい場合は、Splunk Cloud Platformや「Amazon S3」に転送することも可能となっている。
「Federated Analytics」も発表された。これは、Splunkと特定の外部データレイクを横断したデータ分析を可能にする。まずは「Amazon Security Lake」に対応する。Splunk Cloud Platformとクラウドベースの「Splunk Enterprise Security」のプライベートプレビュー版に搭載され、データレイクとシームレスに統合して分析し、セキュリティデータ全体を一元的に表示することで、データ保管のコストと移動の複雑さを軽減する。
Edge Processorは、世界中の地域で一般提供されており。Ingest Processorは、2024年7月に一部地域で一般提供を開始する予定。Federated Analyticsは、2024年7月にプライベートプレビュー版を公開予定となっている。
セキュリティ製品については、「Splunk Enterprise Security 8.0」が発表された。セキュリティチームがリスクをプロアクティブに管理・効果的に軽減できる機能が追加されるほか、先述のFederated Analyticsが組み込まれている。
Splunk セキュリティ製品担当 SVP 兼 GMのMike Horn氏は「Splunk Enterprise Security 8.0の最新機能は、アナリストのTDIR(脅威の検出、調査、対応)ライフサイクルへの対応を大きく変化させる。『Splunk SOAR』の自動化機能の統合など、シームレスな調査とケース管理が可能な最新版を活用すれば、SOC(セキュリティ監視センター)チームは複雑なサイバーセキュリティの問題を効率的に解決できるようになる。Splunk Enterprise Security 8.0は、将来のSOCの基盤として機能し、進化し続ける脅威にもプロアクティブに対応する」とコメントする。
Splunk Enterprise Security 8.0では、Mission Controlがネイティブに統合されたため、セキュリティアナリストは脅威の検出、調査、対応を最新の一元化されたインターフェースから簡単に実行できるようになる。また、用語の標準化とSplunk SOARの自動化機能を連携させることで、アラートのトリアージと調査を迅速化し、高度な分析を行って脅威検出を強化する。現在はプライベートプレビューの段階で、2024年9月には一般提供を開始する予定となっている。
脅威インテリジェンスチーム「Cisco Talos」とSplunkのセキュリティ製品の統合も発表された。Cisco Talosの脅威インテリジェンスを「Splunk Attack Analyzer」、Splunk Enterprise Security、Splunk SOARで活用し、既知の脅威や未知の脅威に対する防御を強化できるようになる。
Talosの脅威インテリジェンスネットワークを活用することで、Splunkのユーザーは脅威の検出と対応プロセスを効率化し、過剰なアラートを削減できるほか、セキュリティアナリストはよりクリティカルな脅威に集中できるようになるとしている。
(取材協力:Splunk Services Japan)
