製品 & テクノロジー

Snowflakeを利用してレガシーSIEMSのコストを適正化する方法

Snowflakeを利用してレガシーSIEMSのコストを適正化する方法

Splunkのような従来型のセキュリティ情報およびイベント管理(SIEM)ソリューションは、機械生成データを管理、分析するための強力なツールです。世界中の組織、特にセキュリティチームにとって欠かせない存在となっています。しかし、セキュリティオペレーションセンター(SOC)のアナリストがSplunkのようなソリューションに依拠するようになっている中、ある不満が持ち上がっています。コストはすぐに足し算になります。 

この問題は、ボリュームベースの価格設定モデルを中心としています。このモデルでは、セキュリティチームは取り込むデータに関する難しい意思決定を迫られます。多くのオンラインスレッドがあります。ここここここのリンクはほんの一部です。これらのスレッドは、組織がセキュリティをどの程度損なわなければならないかを制限しながら、コストを最もよく管理するためのものです。しかし、セキュリティチームがトレードオフを行う必要がなかったとしたらどうなるでしょうか?

このブログ記事では、Snowflakeがこの課題にどのように役立つかを説明します。まず、組織がレガシーSIEMソリューションで検討する必要がある5つのコスト要因と、Snowflakeがどのように役立つかを見てみましょう。

留意すべきレガシーSIEMのコスト要因

  1. データの取り込み:従来のSIEMでは、多くの場合、データの取り込みと保持が制限されます。Snowflakeでは、セキュリティチームがすべてのデータを単一のプラットフォームに保存し、簡単にアクセスできる状態に維持できます。クラウドデータストレージ容量はほぼ無制限です。

Snowflakeにデータを取り込むには いくつかの方法がありますセキュリティソースは、ストリーミング、ステージ、Syslog、ネイティブコネクタ、安全なデータシェアリングなどのネイティブな手段で直接取り込むことができます。SnowflakeのSnowpipeサービスは、組織のニーズに合った価格で新しいデータを簡単に取り込むのに役立ちます。最も一般的な方法はSnowpipeの自動取り込みで、定期的にマシンデータを取り込むセキュリティチームに役立ちます。しかし、この方法はすべての人に適しているわけではありません。なぜなら、少量のデータの読み込みが遅かったり、小さなファイルが多かったりすると、他の方法よりコストが高くつくからです。

Snowpipeストリーミングも、セキュリティチームのコストを削減できる方法です。Snowpipeストリーミングでは、ロード前にファイルを準備する必要がないため、データ取得のコストをより正確に予測できます。 

セキュリティチームは、特定のデータセットを継続的にロードするのではなく、バッチでロードすることでコストを削減することもできます。たとえば、瞬時に検出する必要のない大量のデータを1日3回ロードし、常にストリーミングすることで、大幅なコスト削減を実現できます。

  1. データ保持:従来のSIEMSの多くは、数日、数週間、または数か月でシステムからアクティビティログ、取引記録、その他の詳細を削除します。Snowflakeを利用することで、セキュリティチームはこのようなデータ保持期間を回避する必要がありません。すべてのデータにいつでもアクセスして分析できるため、コスト計画とデータ管理戦略が簡略化されます。また、可視性カバレッジ、SLAパフォーマンス、平均検出時間(MTTD)、平均応答時間(MTTR)などの重要なセキュリティ指標をより信頼性の高い方法で生成できます。また、Snowflakeは、データの圧縮と暗号化を自動的に行い、クエリを実行できるようにすることで、セキュリティチームの時間節約にも貢献します。
  1. 検出および調査処理:セキュリティチームは、検出ルールに基づいて重要なイベントを自動的に検出します。これらのルールでは、データを分析し、攻撃を検出するコンピューティングパワーが必要です。クラウドでは、コンピューティングはスキャンされたバイト数やCPUサイクルなど、さまざまな方法で測定できます。これは、検出を処理するコストとコストの予測可能性に影響します。従来の固定ハードウェアではコンピューティングコストは問題とならなかったかもしれませんが、クラウドの世界ではまったく新しい流れです。 

セキュリティチームにとって、調査は実行中の検出と同様に収集されたデータを分析するコンピュートパワーが必要です。ストリーム処理やバッチ処理など、検出と調査に異なるエンジンを使用するソリューションもあれば、両方のタスクに同じエンジンを使用するソリューションもあります。Snowflakeは、セキュリティチームがクエリエンジンの基本的な機能を理解し、調査のコスト見積もりを効果的に計画するために役立ちます。

ボリューム取り込みベースの価格設定からの脱却

従来のSIEMでは通常、セキュリティチームのすべてのデータ取り込み、変換、検出、調査処理を管理します。既製のコネクタや正規化機能は便利ですが、顧客は取り込み量ベースの価格設定モデルを使用する従来のSIEMの性質上、より多くの料金を支払うことになります。 

ここで重要なのは、この価格設定モデルの仕組みを理解することです。従来のSIEMベンダーによって取り込み量ベースの価格設定は異なりますが、データセキュリティチームが分析のためにSIEMに送る量が多いほどコストは高くなります。

従来のボリュームベースの価格設定モデルをやめることで、セキュリティチームはアクセスできるログとコストをより詳細に管理できるようになります。Snowflakeのような使用量ベースの価格設定モデルでは、セキュリティチームはすべてのデータを手元に置きながら、使用したコンピュートリソースに対してのみ料金を支払うことで、セキュリティのコスト効率を高めることができます。Snowflakeの価格モデルは、柔軟性とスケーラビリティを提供するように設計されており、セキュリティチームは、長期契約や前払いコミットメントに縛られることなく、使用したリソースに対してのみ支払いを行うことができます。 

Snowflakeの仕組み

最新のセキュリティデータレイクとSnowflakeのベストオブブリードのアプリケーションを使用したオープンアーキテクチャの導入により、コストを抑制しながら組織のセキュリティ体制を改善することができます。セキュリティデータレイクは、取り込みと保持の制限を排除することでデータサイロを解消します。組織は、セキュリティデータレイクを使用してリソースを自動的にスケールアップおよびスケールダウンし、使用したリソースに対してのみ料金を支払うことで、セキュリティを損なうことなくコストを制御できます。 

セキュリティデータレイクは、アナリストがログデータやセキュリティツールの出力に複雑な検出ロジックやセキュリティポリシーを適用するためにも役立ちます。セキュリティアナリストは、セキュリティログを資産インベントリ、ユーザーの詳細、構成の詳細、その他の情報などのコンテキストデータセットと迅速に結合し、誤検出を排除してステルス脅威を特定できます。 

価値提案は明確です。組織は、セキュリティデータを低コストで統合し、いつでもそのデータをクエリできる柔軟性を得ることができます。Snowflakeは、組織が長期的な利益を得るためのデータドリブンな選択を可能にします。このアプローチの可能性を示すために、いくつかのカスタマーサクセスストーリーを詳しくご紹介します。

実際のカスタマーサクセスストーリー

これを適切に行えば、Snowflakeのお客様は大幅なコスト削減を実現できます。さまざまな業界の注目すべき成功事例を詳しく見ていきましょう。

現在、Comcastでは、Snowflakeのセキュリティデータレイクはセキュリティデータファブリックの不可欠なコンポーネントとなっています。従業員がオンプレミスインフラストラクチャーを管理する代わりに、クラウド内のSnowflakeの伸縮性のあるエンジン上に構築されたComcastセキュリティデータレイクに10ペタバイト(PB)以上のデータをホットリテンションで1年以上保存し、数百万ドルのコストを削減しました。10PBのセキュリティデータレイクで50,000件以上のセキュリティ侵害指標(IOC)の自動スイープを30分以内に完了できるようになりました。

Guild Educationは、Snowflakeを利用することで「最大50%のコスト削減」を実現できると主張しています。これは、組織がSnowflakeデータクラウドによって得られる大きな経済的メリットを浮き彫りにしている一例にすぎません。

法人旅行管理会社のNavanは、セキュリティイベント用のデータレイクとしてSnowflakeを採用することで、コスト効率に優れた最先端のセキュリティアーキテクチャを実現しました。その結果は素晴らしいものでした。

  • 最新のSIEMレスアーキテクチャの採用により70%以上のコスト削減
  • 8か月で15,000時間以上を節約
  • MITRE ATT&CKのカバレッジが8か月で4倍に向上

Snowflakeの変革力を目の当たりにする準備はできていますか?

当社のデモをご覧いただき、データ管理戦略に革命を起こし、大幅なコスト削減を実現し、組織を効率性とイノベーションの新時代に導く方法をご確認ください。Snowflakeを利用してSplunk戦略を強化する方法をご紹介します。 

記事をシェアする

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

30日間の無料トライアルを開始する

Snowflakeの30日間無料トライアルで、他のソリューションに内在する複雑さ、コスト、制約の課題を解決するデータクラウドを体験できます。