【セッションレポート】Splunk × AI で変革するクラウド時代のセキュリティ & オブザーバビリティ (AP-11) #AWSSummit
2025.06.302025 年 6月 25 日に行われた AWS Summit Tokyo 2025 に現地参加してきました。
『Splunk × AI で変革するクラウド時代のセキュリティ & オブザーバビリティ (AP-11)』のセッションを聴講したので、そのレポートになります。
セッション概要
AWS 環境で Amazon GuardDuty、AWS CloudTrail、Amazon CloudWatch など主要なサービスから来るデータはセキュリティやオブザーバビリティを高めるために効果的に活用できていますか?「困ったときにだけ」「見ているだけ」ではこれらのデータは十分な活用はできません。本セッションでは、AWS 環境のサービスから出るデータを柔軟に活用するために Splunk の強力な検索・可視化機能や AI を活用してより統合的にセキュリティやオブザーバビリティを高める方法をお客様事例を交えて紹介します。
セッションスピーカー
スプランクサービスジャパン合同会社
パートナー技術本部
シニアパートナーソリューションズエンジニア
長島 広隆 氏
目次
セッションのアジェンダは以下のような流れです。
- Splunk会社紹介
- セキュリティ調査をもう少し効率化したい
- もう少しオブザーバビリティ運用を効率化したい
- AWS サービスとの更なる連携
このセッションでは、主にSplunkのソリューション分野としてセキュリティ・オブザーバビリティの活用例についてお話されていました。
Splunkの会社紹介
2003年に設立され、2024年3月にCiscoによる買収が完了している。
Splunkのソリューションとしては、大きく、ログを検索するためのプラットフォーム、SOARやUBA(ユーザー行動分析)を含むセキュリティ、APMを中心としたオブザーバビリティと幅広く存在している。
また、市場による評価も高く、Magic Quadrantの最新レポートにおいて、SIEMおよびAPM & Observabilityの分野でリーダーの位置を獲得している。
AWSとのパートナーシップも長く、良好な関係を維持している。
様々なデータをオンプレ・クラウドから集め、具体的なアクションに導くまでの洞察を得ることを支援するためのツール。
さらにAIを組み込んだり、自動化による業務効率化やコミュニティからなる様々なアドオンによる拡張性がある。
セキュリティ調査をもう少し効率化したい
セキュリティの調査は時間を要するという課題感に言及されていました。
マルチアカウント戦略による複数アカウント間や、リージョンを移動した複雑なログの統合やログの確認作業、さらにオンプレミス環境も別途確認が必要といった分断により時間がかかることがある。
限られたリソースで運用する担当者としてはセキュリティサービスはこれ以上いれられないと判断する場合もある。
セキュリティで使うログをまとめてSplunkで集約し、調査を一箇所で行うことができる。
AWSサービスとのログの連携方法も柔軟に選択することが可能。
PULLベース、PUSHベースがある。
PUSHベースではアーキテクチャやログのボリュームなどに応じて、Lambdaで連携する方法またはAmazon Data Firehoseで連携する方法を選ぶことができる。
AWSでのログ分析ユースケースは以下のようなものがある。
- AWSアカウントの保護
- Computeリソースの保護
- コンプライアンス・ガードレール
Splunkを使ったセキュリティ調査の特徴の一つに、複数の種類のログを結びつけて調査することを可能にする点がある。
セキュリティ攻撃は、メールシステム、クライアント端末、認証基盤... といったように、複数のポイントを動きながら侵害を試みる。
ログを取得している場合でも、それらの痕跡は複数のシステムに混在することになる。
こういった個々のイベントをSplunkで複数結びつけることができる。
そのために、Splunkでは正規化を行ってくれる機能を提供している。
多数の検知ルールや分析ストーリーを利用できるのもSplunkの特徴の一つ。
公開されたルールをSplunkに適用することができる。
中でも機械学習を用いた検知ルールでより高度なアラートや分析ができる。
ベースラインを用いて、CLIの実行ログやSMBトラフィックの傾向、DNSクエリの長さなどから異常なアクティビティの検出を行う。
プレビューリリース段階だが、AI Assistant for Enterprise Securityという機能もある。
自然言語から、セキュリティ監視や調査のワークフローを効率化が可能。
もう少しオブザーバビリティ運用を効率化したい
オンコールの担当者の課題は、同時に複数のアラートがなった時、どの特定アラートに対処・戻したらいいのか判断ができない。
エラーログに注目しても、何の処理を起点にエラーとなったかが分からない。
マイクロサービスでは、切り分けが困難になっている。
従来の監視では、メトリクス中心の監視とログ中心の監視とで分断されていた。
それぞれの監視のメリットはあるが、相反していて同時に見ないと効果がでにくい。
Splunkでは、Mertics、Trace、Logを統合していて、マイクロサービスの持つ監視の難しさを出来るだけ分かりやすくすることができる。
AIによるアシスト機能が組み込まれ、問題箇所への関連付けと原因調査へと結べつく画面の遷移を誘導してくれる。
デモによるAIアシスト機能を紹介する。
アラートの発生を受け取ると、APM、サービスマップで依存関係の確認、エラーの発生数、時系列の確認などをアナリストが順番に調べていく必要がある。
アシスト機能を使うと、アラートに関連するエラー情報を要約して教えてくれる。
CPUやメモリのリソース状態をチェックしてもらったり、次に調査するべき箇所をサジェストしてくれます。
サジェスト内容の詳細を調べるように、AIに依頼して最終的な根本原因まで自然言語を通じて導いてくれます。
デモ動画:
AWS サービスとの更なる連携
さらなるAWS連携活用の機能の一つに Federated Search for Amazon S3 がある。
Splunkにデータを取り込まず、S3上のデータを直接読み込みができる。
Splunkでは、S3のデータを相関付け、エンリッチメント、分析ができるようになる。
これにより、検索頻度の低いデータのストレージコストを最適化することができる。
ユースケースとしては以下のようなものが代表的
- フォレンジック調査
- 履歴アナリティクス
- 過去のデータに対して統計し、月間・年間などでデータの傾向をしる
- データエンリッチメント
- S3のデータセットとSplunk内に取り込んだデータを相関付けし分析に役立てる
最後に
セッションの最後では、Splunkの活用効果についてまとめられ、AWS上のログ・メトリクス・トレースの分析とアラート運用の効率が高まることが強調されました。
Splunkの持つ豊富なユースケースを参考にすることで、まずは簡単なところからはじめていきやすい製品であることを最後の言葉として締めくくられました。
Splunkブース
現地会場に併設されているパートナーブース内のSplunkブースでは、たくさんの人で賑わっていました。
皆さん足をとめて、アンケートに答えていたり、エンジニアが紹介しているデモの様子を一生懸命拝見していらっしゃいました。
筆者からのまとめ
数多くのパートナーが参加している中で、Splunkはセキュリティと運用効率といったログデータに関して取り上げられていました。
筆者自身も業務において、日々、ログの運用は、システムの可用性やコンプライアンスを遵守する上で重要な検討要素だと感じています。
AWS運用を楽にするソリューションの一つとして、良いソリューションですね。
動画や資料公開が公開されましたら、ぜひ本編もご覧ください。
