Splunk すぷらんく
SIEMログ管理セキュリティ監視SOCデータ分析インシデント対応
Splunkについて教えて
簡単に言うとこんな感じ!
会社中のシステムが出す「ログ(記録)」を一か所に集めて、怪しい動きをリアルタイムで見つけてくれる”セキュリティの監視カメラ+分析官”みたいなツールだよ!「誰がいつどこにアクセスしたか」を秒単位で追跡できるんだ。
Splunkとは
Splunk(スプランク) は、サーバー・ネットワーク機器・アプリケーションなど、社内のあらゆるシステムが吐き出すログデータを一元収集・検索・可視化・分析するためのプラットフォームです。2003年にSplunk Inc.(現 Cisco傘下)が創業し、ログ管理・SIEM(Security Information and Event Management)の代名詞的存在として世界中のSOC(セキュリティ運用センター)で使われています。
もともとは「ログ検索エンジン」として生まれましたが、現在はセキュリティ監視・IT運用監視・ビジネスインテリジェンスまで幅広い用途に対応しています。社内に散らばる膨大なログをSPL(Splunk Processing Language)という独自クエリ言語で自在に絞り込み、ダッシュボードやアラートとして可視化できるのが最大の特徴です。
発注・選定の立場から見ると、「何か不正アクセスが起きたとき、どのログを見ればいいかわからない」「ログはあるけど量が多すぎて追えない」という課題を解決するツールです。SIEMとして位置づけられることが多く、セキュリティ製品の中でも特に”証拠収集と異常検知”の中心に置かれます。
Splunkの主な機能と構造
| 機能カテゴリ | 内容 | 実務での使い方 |
|---|---|---|
| ログ収集 | サーバー・FW・EDRなど多数のソースからデータ取込 | 全社のログを一か所に集約 |
| インデックス検索 | SPLでリアルタイム・過去ログを高速検索 | 「このIPが過去30日でどこにアクセスしたか」を秒で追跡 |
| ダッシュボード | 検索結果をグラフ・マップで可視化 | 経営層向けのセキュリティレポートを自動生成 |
| アラート | 条件に合致したログが来たら即通知 | 深夜の不審ログインを担当者にSlack通知 |
| 相関分析 | 複数イベントを組み合わせて脅威を検出 | 「ログイン失敗5回→成功→大量ダウンロード」を1件の攻撃として検知 |
| SOAR連携 | 自動対応プレイブックを実行 | 不正IPを自動でFWブロックリストに追加 |
Splunkの3つのデプロイ形態
- Splunk Enterprise:自社サーバーにインストールするオンプレミス版。大規模・カスタマイズ重視の企業向け
- Splunk Cloud Platform:SaaSとして利用するクラウド版。インフラ管理不要でスピード重視の企業向け
- Splunk Enterprise Security(ES):SIEM特化のアドオン。脅威インテリジェンス連携・インシデント管理機能を追加
データの流れ(簡略)
[各種ログ源] [Splunk] [利用者]
サーバーログ ──┐
FW・NWログ ──┤→ Forwarder → Indexer → Search Head → ダッシュボード
EDR・SaaSログ─┘ → アラート通知- Forwarder:各サーバーに置く軽量エージェント。ログをSplunkへ転送する
- Indexer:受け取ったデータを検索可能な形に保存・インデックス化する
- Search Head:ユーザーが検索・ダッシュボード操作をする窓口
歴史と背景
- 2003年:米サンフランシスコでErik Swan・Rob Das・Michael Baumが創業。「ログ地獄を解消する」がコンセプト
- 2006年:Splunk 1.0リリース。コマンドラインでログを”Google検索”するように扱える点が話題に
- 2012年:NASDAQに上場。初日の株価が51%上昇し注目を集める
- 2014年:Splunk Enterprise Security(SIEM特化版)をリリース。セキュリティ市場へ本格参入
- 2016年:SOAR(自動対応)ツールのPhantom社を買収。自動化機能を強化
- 2020年代:クラウドシフトが加速。Splunk Cloud Platformが主力製品に
- 2024年:Ciscoが約280億ドルでSplunkを買収。ネットワーク監視との統合が進む
SIEMとしてのSplunk:他製品との比較
SIEMは「セキュリティ情報イベント管理」の略で、ログ収集・分析・アラートを一元化するカテゴリです。Splunkはその代表製品ですが、競合も存在します。
| 製品 | 特徴 | 向いている組織 |
|---|---|---|
| Splunk | 柔軟なSPLクエリ・圧倒的な検索速度・豊富なアドオン | 大規模企業・SOC常設組織 |
| Microsoft Sentinel | Azure連携が強力・従量課金・MicrosoftエコシステムとのSSOC | Microsoft 365中心の企業 |
| IBM QRadar | 相関ルールが豊富・伝統的SIEM | 金融・官公庁など規制業種 |
| Elastic SIEM | オープンソースベース・コスト重視 | 技術力のある中規模企業 |
| LogRhythm | 運用負荷が低めのオールインワン | セキュリティ専任が少ない中堅企業 |
Splunkのアーキテクチャ(クラスター構成)
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| RFC 5424 | Syslogプロトコルの標準仕様。Splunkが最も多く収集するログ形式 |
| RFC 3164 | 旧Syslog(BSD Syslog)の仕様。レガシー機器のログ収集に関連 |
| RFC 5246 | TLS 1.2。Forwarder〜Indexer間の暗号化転送に使用 |
関連用語
- SIEM — ログの収集・相関分析・アラートを一元化するセキュリティ管理の仕組み
- SOC — セキュリティ監視を専門に行う組織・チームのこと
- SOAR — SIEMと連携してインシデント対応を自動化するプラットフォーム
- Syslog — サーバーやネットワーク機器がログを出力・転送する標準プロトコル
- EDR — エンドポイント(PC・サーバー)の動作を監視・記録するセキュリティツール
- 脅威インテリジェンス — 既知の攻撃者IPやマルウェア情報をSIEMに取り込む情報源
- インシデントレスポンス — セキュリティ事故発生時の対応手順・プロセス
- ログ管理 — 各システムが出す記録を収集・保管・分析する運用の仕組み