Splunk.conf 2014 レポート

Splunk.confとは?

Splunk.confは、"Splunk"というログ分析ソリューションを提供している米国の会社(社名もSplunk)によるカンファレンスで、今年はラスベガスで開催されました。今年で5回目の開催になりますが、小熊にとっては今回が初めての参加になります。第1回の参加者は300名ほどだったものが、今年の参加者は3500人を超えたそうです。KBIZは今年、この会社のパートナーになり、情報セキュリティ分野での利用について研究・開発を行っています。

　もともとSplunkはITシステムの安定運用を目的とし、さまざまなログを分析して障害の発生を防いだり、システムの性能を管理したりするソリューションとして位置づけられていました。そのため、パートナーになった半年ほど前には、情報セキュリティに関する情報はあまり見つけることができませんでした。ところが、今回開催されたカンファレンスのセッションでは、セキュリティに関するものが目白押し。全ての時間枠にセキュリティのセッションがあり、時間帯によってはセキュリティのセッションが同時に3つもあるような状態でした。キーノートスピーチでもセキュリティが大きく取り上げられ、同社のセキュリティへの力の入れようが感じられます。2日半で15個のセッションを聞いてきましたので、そのうち2つほど簡単に紹介します。

Security Ninjutsu: Using Splunk for Advanced Correlation, Anomaly Detection and Response Automation

　「セキュリティ忍術」と名付けられたこのセッションでは、Splunkを使ってセキュリティ的に有意な異常値を検出する4つの方法が紹介されました。 　1つ目は「C&C Detection and Blocking」で、Palo Alto NetworkのFirewallログから、組織内に侵入したマルウェアがC&Cサーバと通信した痕跡を見つけ出し、ブロックするというものです。具体的には、FirewallのログとC&Cサーバのリストを突合することによって検出を行うもので、仕組みとしてはシンプルなものですが、既存のネットワーク機器と組み合わせることで容易にセキュリティを高めることができるという点では意味があるのではないかと思います。 　2つ目は「Anomaly Detection Essentials」で、PCに導入されていている「Carbon Black」というエンドポイントセキュリティ製品のログから、マルウェアがシステムファイルを書き換えたりする挙動を検出するものです。マルウェアによるシステムファイルの書き換えは、OSのパッチ適用や、アプリケーションの導入によるシステムファイル書き換えに埋もれてしまう可能性がありますが、ここでは、書き換えが行われているファイル名を集計し、通常書き換えられないようなシステムファイルが書き換えられていることを標準偏差によって抽出する方法が紹介されました。標的型攻撃(APT)では、攻撃の最終目的(情報の窃取やシステムの破壊)に到達するためには数週間から数か月を要すると言われています。これらの方法は、この一連のプロセスを遮断(Kill chain)するために有効と考えられます。 　この「Kill chain」という表現は今回何度も耳にしました。侵入から防御する仕組みだけでなく、たとえ侵入されてしまったとしても、その後のアクティビティを検出し、食い止めることを「Kill chain」と呼び、それを実現する仕組みとしてログ分析が有効であるとしています。 　3つ目は「Behavioral Anomaly Detection」で、病院内で患者のカルテを不正に閲覧している人を検出する方法が例として紹介されました。ユーザ毎にカルテの閲覧数を集計し、ユーザ毎の過去のカルテ閲覧数平均からの標準偏差を計算し、大きく偏りがあるものを抽出、それを上司に定期的に報告するというものです。また、過去の平均と比較して大きくかけはなれた数値の場合は、緊急対応部署等にも連絡する仕組みとしているそうです。 　4つ目は「Visual Event Correlation」で、攻撃者の傾向を把握するために、システムに関するイベントを視覚化し、人間の目で異常値を検出できるようにする方法です。ルールを決めて、それにマッチしたもののアラートをあげる仕組みは特定の不正行為には効果的ですが、あくまでも想定の範囲内の事象しか検出することができません。これは、イベントを視覚化することで、想定していないような事態が起こっていないか、人間の直感を組み合わせて判断できるようにする仕組みです。

Tracking Insider Threats Using Big Data and Analytics

　ビッグデータを用いて、内部不正を検出する方法についてのセッションです。内部不正の検出にログ分析は有効と考えられますが、分析の対象となるログの種類が少なかったり、あったとしても品質が低ければ、有益な分析結果を得ることはできません。ITシステムに存在するログだけでは内部不正を検出するためには不十分ですし、不正が発覚したとしても十分な調査ができないこともあります。 　内部不正があった組織に対し、法的措置を取らなかった理由を調査したところ、風評被害を恐れて、としたものは予想よりも少なく、証拠が不十分だったとするものが多いという結果でした。 　このような状況を改善するために必要なことは、IT部門の範囲を超えてログを収集することです。今までのログ分析では、ネットワーク、サーバ、セキュリティソリューションなどのログを分析していました。しかし、これだけでは不十分です。これからは、人事情報、物理セキュリティ、その他の情報を組み合わせて分析することで、より高い精度で内部不正を検出できるようにします。具体的には、人事評価、入退室ログ、SNSなどの情報を利用し、複合的に分析を行います。例えば、深夜の時間帯にDBから大量のデータをダウンロードしているログがあったときに、その時間帯にオフィスにいた人が一人だけであり、人事評価に問題があった人だとすれば、非常にリスクが高いと判断します。 　当然、このようなことはIT部門だけでは実現できません。人事部、総務といった部門と連携し、データを提供してもらう必要があります。人事評価など機密性の高い情報は、データを連携する前に加工するといった配慮も必要になります。

ベンダー主催のカンファレンス

　このカンファレンスはSplunk社主催のカンファレンスです。当然ですが、参加者のほぼ全員がSplunkのユーザになります。そのため、各セッションの内容も非常に具体的で、ほとんどのセッションで具体的なSplunkのコマンドが紹介されました。長年Splunkを使っている人たちのコマンドには多くの発見があり、非常に参考になります。私は毎年RSA Conferenceに参加していますが、RSA Conferenceのような比較的中立的なカンファレンスでのベンダーセッションはスポンサーとしてのセールスピッチのことが多いので、避けるようにしています。しかし、ベンダーが主催のカンファレンスで、なおかつ参加費を取る(今回は10万円以上)ときに、宣伝ばかりだったら二度と来る人はいないでしょう。そういった意味では、ベンダー主催のカンファレンスの良さを知ることができ、新しい発見だったと言えると思います。

ラスベガスの街

　今回のカンファレンスはラスベガスのMGMで開催されました。ラスベガスは今までも何度か行ったことはあるのですが、どうも好きではありませんでした。今回またラスベガスに行って、その思いを新たにしました。その理由は、ラスベガスには生活感が無いからかもしれません。歩き回れる範囲はすべてが観光客向けで、常に作為が感じられます。メインのカジノも、小熊は勝負運が無い自覚があるので勝負する気にならず、ちまちまスロットをやってみたりもしましたが、最近はスロットもみんなデジタルで、どうやっても勝てる気がしません。それでは、とシルクドソレイユのKAを見たりもしたのですが、それもあまり琴線に触れず...。今回は仕事の関係もあり、現地では3日半だけ滞在という短縮スケジュールで出張したのですが、それで十分でした。来年もSplunk.confはラスベガスで開催されるようですが、次回行くとしても同じぐらいでいいかな...。

小熊