Splunk Services Japanは12月17日、記者会見を開き、SIEM（Security Information and Event Management）製品の最新バージョン「Splunk Enterprise Security 8.0」について説明した。脅威の検出から特定、調査、復旧までのプロセスであるTDIR（Threat Detection and Incident Response）の向上を図り、セキュリティー運用業務の効率化を支援する。

　最新バージョンでは、新機能「Ingest Processor」を追加し、セキュリティーに関連する重要なデータのみを取り組めるようにしたことで、ストレージを圧迫することがなくなり、コスト削減を実現する。調査、分析においては、約1700種類の機能を活用することで、復旧までのプロセスを短縮できるとした。外部のストレージに保存しているデータにアクセスして分析が行える「Federated Analytics」も追加している。


　脅威の検出から対応までを一元化する機能「Mission Control」を管理画面に統合した。さらに、SOAR（Security Orchestration Automation and Response）製品「Splunk SOAR」の自動化機能や、脅威分析ツール「Splunk Attack Analyzer」との連携を強化したことで、トリアージと調査を迅速化、SOC（Security Operation Center）の担当者が効率的に運用をできるようになったという。矢崎誠二・セキュリティ・ストラテジストは、大量のアラートへの対応やワークフローの一元化ができていないといった従来のSIEMの課題を紹介し、「Enterprise Securityは、完全なTDIRを実現しており、未来のSOCを強化する」と述べた。

　米Cisco Systems（シスコシステムズ）とのセキュリティー製品の連携についても解説。シスコのXDR（Extended Detection and Response）製品「Cisco XDR」とSIEMを組み合わせることで、幅広い環境のセキュリティー強化が図れるとした。
（岩田晃久）