本記事では、Elastic Securityを導入している企業の方に向けて、改めてサービス概要や特長を紹介した後、上手な活用法を提案します。いまひとつElastic Securityの機能を使い切れていないと感じている方は、ぜひ参考にしてください。
Elastic Securityとは
Elastic Security(エラスティック セキュリティ)とは、Elastic社が提供しているセキュリティサービスです。クラウド監視からSIEM、エンドポイントセキュリティまで広範囲なセキュリティ対策を行えます。
近年ではインターネットが普及し、利便性が増したとともに、サイバー攻撃の手口も広がっています。そのため企業はセキュリティ対策を行い、重要な企業情報や顧客情報を攻撃から守らなければなりません。しかし、せっかくセキュリティ対策ソフトやファイアウォールなどを利用していても、その情報をうまく管理できていない企業も多いのが現状です。
そこで、Elastic Securityでは、各セキュリティ対策製品からの通知などの情報を一元化して可視化することにより、セキュリティ管理をより簡易化させます。セキュリティ担当者への負担が軽減するとともに、企業のセキュリティレベル向上につながります。
そんなElastic Securityには、「SIEM」と「Endpoint Security」という主に2つの機能があります。
SIEM(Security Information and Event Management)とは、セキュリティ情報・イベント管理のことで、様々な機器やソフトウェアの記録を一元管理することで、迫りくる脅威をリアルタイムで検知・分析するシステムです。Elastic Securityでは、ペタバイト規模の膨大なデータ処理ができるほか、1つの画面ですべての操作が行えます。
Endpoint Security(エンドポイントセキュリティ)とは、パソコンやスマートフォンなどの末端機器、およびこれらに保存されている情報を保護するセキュリティ対策です。Elastic Securityでは、エンドポイントの保護を1クリックで行えます。また、機械学習を活用した未知のマルウェア・ランサムウェアへの対応も可能です。
Elastic Securityの特長
では、Elastic Securityにはどのような特長があるのでしょうか? ここでは、Elastic Securityの特長について紹介します。
- 可視性が向上できる
Elastic Securityは、検索、可視化および分析などのデータ処理をシンプルにできます。詳しく解説すると、データは、クラウドやユーザーデータから、エンドポイント、ネットワークにおけるデータまであらゆるデータを取り扱えます。また、「検索可能スナップショット」を利用すれば、数年分のデータを用いて、脅威のハンティングや調査を行うことが可能です。 - 防御と検知を自動化できる
Elasticセキュリティ研究チームが開発し、検証を手掛けたマルウェア防御機能を、設定不要で利用できます。さらに、MITRE(マイター)社が開発したセキュリティのフレームワーク「ATT&CK」にマッピングされた「検知ルール」と「機械学習ジョブ」を用いて脅威を検知できます。また脅威に対しての優先順位付けも行えます。 - 対応速度が向上できる
直感的に利用できるUIと統合機能によって、スムーズなインシデント管理を実現します。また、内蔵されたケースマネジメントおよび自動化アクションが対応速度を向上させます。これにより、すばやい原因の特定とその後の対策が行えます。 - わかりやすいレポートが構築できる
ドラッグ&ドロップで、グラフを利用したわかりやすいレポートを作成できます。また、スマート提案機能がレポート作成のサポートをしてくれます。
Elastic Securityの活用法
Elastic Securityは、1年に数回アップデートが行われ、さまざまな機能が利用できます。ここでは、最新のElastic Security7.11の機能をより上手に使いこなすための具体的な活用方法を紹介します。
- 大量のセキュリティデータにアクセスする
Elastic Securityでは、先ほど説明した「検索可能スナップショット」とAmazon S3などで活用できる「Coldティア」を組み合わせることにより、数年分のデータにアクセス可能です。公式ホームページの情報によると、最大で50%もコストを削減しながら、データの調査などが行えるとされています。過去のデータを確認することにより、脅威の調査に役立ちます。また今後は、クラウドプラットフォームやアプリケーション、ホストアクティビティ、IoTなど、これまで日常的に運用できなかったデータも運用可能な状態で保持できるようになるとしています。 - テクノロジーごとに検知を行う
Elastic Securityでは、機械学習ジョブと検知ルールを用いて、テクノロジーごとに検知を行えます。IaaSテクノロジーは、既存の保護機能によって検知することが可能です。SaaSテクノロジーは、攻撃のテクニックと挙動を自動で発見できるクラウドアプリケーション向け「事前構築済み検知」を使用して検知できます。さらに、WindowsやLinux環境についての、事前構築が済んだセキュリティ分析コンテンツもあります。また、SUNBURSTやほかの攻撃の検知を補助するDGA(ドメイン生成アルゴリズム)検出という方法も利用できます。それぞれのテクノロジーに合った方法で検知を行えば、不審な動きにも素早く気づけます - ワークフローツールとの連携を行う
SlackやServiceNowなどのワークフローツールのアラート機能と連携させて、アラート管理を行えます。ただ単にアラートをワークフローツールに任せるのではなく、重要度をアラートとともに通知することにより、画面切り替えが減り、対応のスピードが向上できます。 - タイムライン機能で効率的に脅威対策を行う
Timelineワークスペースでは、専用タブで重要な情報を確認したり、全画面表示でイベントを表示したりすることで、関連イベントを確認しながらイベントの詳細にアクセスできます。また、複数のタイムラインの切り替えがスムーズに行え、ドラッグ&ドロップですばやく更新もできます。うまく活用することで、企業の脅威対策に効果的です。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
Elastic Securityは、クラウド監視やSIEM、エンドポイントセキュリティなどさまざまなセキュリティ対策を行えます。過去のデータを参考にしたり、アラート管理をしたりして、より効率的にセキュリティ対策を行えるのが強みです。ぜひ上手く導入し、活用してみて下さい。
