昨年からセキュリティのご支援させていただいている企業様から、活動継続のご意向を伺いました。

 

また、別企業様からセキュリティガバナンス体制づくりのご依頼をいただきました。

 

ご期待に沿えるよう努力したいと決意も新たにしています。

SIEMの代表製品としてよく知られているSplunkですが、いじりはじめてだんだんわかってきました。

 

・多くの企業で導入されているものの、使いこなせていない

　と言われるが意図的にわかりにくくしているせいもある

 

・使い方、環境の整え方に関するマニュアルは日本語版は

　ろくなものがなく、英文でもお粗末なものが多い

 

・SPLという検索言語の書き方については、ググれば概ね

　わかるが、悩みどころはSPL自体ではない

 

・ログの仕様（特にWindowsイベント）とSplunkではそれを

　どこまで対応できているか、何かを追加すればできるのか、

　追加はどうすればいいのか　などが全くわかりにくい

　（Windowsイベントの .evtx は相応に勉強して理解する

　　必要はあり）

 

・ググってもわからない　というかできず、結局、外人が

　Youtubeで解説しているものを画面に目を凝らしてみてやっ

　とわかる　というかんじ

 

設定などがようやくわかってきても、ファイヤーウォール、Windowsイベント、proxyなどのログの相関をみて判断するというのは、相当それぞれの世界を知っている人でないとわからない。

 

MITRE ATT&CK で公開されている過去の攻撃手口を検知するためのSPLもたくさん参考として公開されていて、私自身これを理解して顧客環境へ適用するという業務もしていますが、このためにはログの内容の意味理解ができないといけない。

 

つまり、よくわかっている人向けのツールなので、一般企業の情シス担当者にはハードルは相当高いと感じます。

 

Splunkがやっていることというのは、所詮はログデータをいろいろな条件でキーワード検索し、表形式やグラフで描画するなどであり、大した頭脳が搭載されているわけではありません。Pythonで機械学習ライブラリのアルゴリズムやモデルを使って、業務システムを作れと言われても、容易でないのと同じ理屈ですね。

昨年2023年にベルギーで日米欧の関係者が集まって、今後の半導体開発に関するシンポジウムが開催された。

 

この席上、経産省の役人が、

 

「過去の半導体戦略では、国内企業の協業で生まれた会社にばかり投資したことが失敗要因」

 

と言っていた。これは表面的な話で本当のところは、メモリ開発をやっているメーカを寄せ集めれば集約できる　という単純で間違った見通しこそが原因である。

 

同じなんとかμmのDRAM生産をM社、N社、H社…でやっていても、設計思想は異なり、製造プロセスも異なる。ゆえに生産工程ラインも共通なところはほとんどなく、全く別々の製造工場を寄せ集めただけであった。こんなのでうまく事業的に統合なんてできるはずはない。

 

もし本当にメモリ技術、産業を温存させようとするなら、どれか１つに集約しそれ以外は棄却するのが正解だったのだろうが、そんなことは決してできなかった。

 

自分たちで自死せよということを決めさせることは不可能で、おそらく現場に近い人、いや経営層もわかってはいただろうが、自分たちの延命につながるなら　と思って傷口を深くしただけであった。（サムスンが躍進したのは、国策で大なたを振るって強制的に１つに集約できたことが大きい。）

 

この構図は、みずほ銀行のコンピュータシステムトラブルの真因と全く同じである。

 

経産省も金融庁も産業構造のありように大なたを振るうことはできなかったのだろう。今後はできるのだろうか。