ボイン リゾート社: Cortex XSIAMとUnit 42 MDRサービスを用いたSOC改善

ボイン社のセキュリティ運用チームは中心拠点で勤務し、会社の分散ネットワークとデバイス群全体の潜在的な脅威と露出についての可視性の維持を担当しています。

このチームは、多方面で課題を抱える従来のセキュリティ情報イベント管理(SIEM)システムに取り組んでいました。取り込むデータの量はわずかなのに、このSIEMは誤検出率が高く、質の高い見識はほとんど示しませんでした。さらに、データ ソースの追加には法外なコストがかかっていました。

ボイン社のネットワーク アーキテクトであるMike Dembek氏はこう説明します。「ログ収集は、私たちの大きな弱点でした。SIEMは高価な上、ソースの統合が困難でした」さらに、「私たちは不正確なアラートを追いかけていました。相互に関連付けられていない、寄せ集めの代物だったのです」と付け加えています。

サード パーティがSIEMを管理していましたが、この追加サポートがあっても、アラート量は膨大でした。ボイン社は、さらに多くのデータ ポイントにわたって収集した関連性のある見識を必要としていましたが、Dembek氏は、このSIEMにソースをさらに追加しても、コストがかさみ、ノイズが増えるだけだとわかっていました。

数千台の企業デバイスと貴重なデータ全体でのセキュリティ強化は、このSIEMの手に余ることでした。そこでボイン社は、パロアルトネットワークスのCortex XSIAMに移行しました。また、継続的なMDRサービスとUnit 42 Retainerを利用するため、パロアルトネットワークスのUnit 42^®と提携しました。

ボイン社の小規模で熱心なセキュリティ チームは同社のレガシーSOCを、ビジネスで要求される品質と厳密性を実現するものに置き換えることを目標にしていました。小さな改善で落ち着くことを良しとしなかったのです。業界最高レベルが目標でした。

それを実現するためには、以下のようなソリューションが必要でした。

• 大幅に多くのデータ ソースを、途方もない価格を支払うことなく取り込む
• 誤検知を最小限に抑えて、アラート疲れと無駄な時間を減らす
• より多くの価値、見識、情報を全社的にもたらす
• リスクを効果的に制御し、ボイン社のセキュリティ体制を改善する
• 週7日24時間体制で対応し、会社の社内チームを拡張する

最終的に、チームでは人数を増やす必要なく、可視性を広げ、分析機能を深めることを望みました。難しい注文でしょうか? 確かにそうです。実行可能でしょうか? Cortex XSIAMとUnit 42 MDRがあれば、間違いなく可能です。

可視性が向上したうえに、誤検知数が急減しました。Cortex XSIAMには、複数のアラートを1つのインシデントに統合して、重複や再作業を削減する相関エンジンが搭載されています。調査が必要なインシデントは、誤検知率および重複インシデントが特定された件数がいずれも減少したことで、1日あたり80～100件から35件に下落しました。

ボイン社ではさらに、新たなレベルの制御とカスタマイズが可能になりました。「以前のSIEMには、アラート調整やカスタム アラートの機能は全くありませんでした」 と、リード セキュリティ エンジニアのKenny Hicks氏は振り返ります。「標準搭載されている相関付けアラートは、XSIAMの大きな利点です。また、必要に応じて、我が社独自のカスタム アラートも作成できます」

Cortex XSIAMを利用することで、チームでは以下の複数の分野で改善を達成しました。

• データ取込みの増加。以前のSIEMでは1日あたり5 GBだったところ、Cortex XSIAMでは1日あたり350 GBになり、可視性と保護を強化。
• データ ソースの増加(1から21)。多様なデータ ソースにわたるイベントを相関付ける機能を提供。
• 未決インシデントを65%削減。誤検知の割合やインシデントの重複を減らすことで、1日あたり80～100件から35件に。
• 平均解決時間を98%削減。2～3日から1.7時間に。
• ベンダーおよびツールを95%削減。調査に必要なツールやダッシュボードが20以上から1つに。
• SIEMの共同管理が不要に。管理を社内で実施可能に。

ボイン社のセキュリティ リーダーたちは、会社のセキュリティ体制の強化だけを望んだわけではありません。チームを拡張せずに、週7日、1日24時間体制のSOCを備えることも望んでいました。

Cortex XSIAMの実装後は、パロアルトネットワークスのUnit 42と連携して、チームの力を強化し、さらに通年で週7日、1日24時間体制で対応する、MDRサービスを提供しています。Unit 42 MDRと連携することで、同社ではUnit 42の世界最高レベルの脅威インテリジェンスおよび、セキュリティとCortex製品の両方についての幅広い専門知識を活用できます。つまりこれにより、分散ネットワークおよびシステム全体を完全に可視化し、より迅速に対応できるのです。

「私たちは、MDRチームの惜しみない支援に感銘を受けてきました」とHicks氏は語ります。「このチームとの連携は非常に上手くいきました。おかげで新しいXSIAM機能を早く利用開始でき、効率性が高まりました」

Unit 42 MDRサービスをCortex XSIAMに統合することで、ボイン社では1つのユーザー インターフェイスを使用して、調査のレビューと次のステップの決定を実施できます。これにより小規模なチームが未接続のシステムを巧みに操作するために費やす時間が節約され、戦略的な優先順位がより高い事柄に集中できるようになります。

「MDRチームは弊社の調査に対処し、アラートがあれば転送して、詳細なレポートを共有してくれます。このレポートは、弊社がそれらのインシデントに対してより迅速で正確な判断を下すために役立ちます」とHicks氏は説明します。「これにより、弊社のチームは莫大な時間を節約できています」

MDRサービスの継続的監視、プロアクティブな脅威ハンティング、およびその他のコンポーネントを使用することで、ボイン社のセキュリティ アナリストは、自社環境を注視していられない時であっても、信頼できるパートナーが監視してくれると確信できます。

新しいアプローチは、格段に多くの機能を提供し、ボイン社のセキュリティ チームの作業負荷を軽減しています。Cortex XSIAMは高度な自動化を実現するべく構築されているので、チームは少ない労力で格段に多くの成果を達成できます。

「XSIAMを利用することで、弊社はネットワークとエンドポイントの保護を統合し、因果関係の全体像を捉えています」とDembek氏は述べています。Hicks氏はさらに、「XSIAMで自動化が容易になりました。データを簡単に取り込んで、最小限のコーディングでプレイブックを作成できるため、自動化のセットアップに必要な作業を大幅に削減できます」と付け加えています。

Cortex XSIAMによるSOCの変革とUnit 42 MDRサービスの依頼により、ボイン社は現在、以下を実現しています。

• 潜在的な脅威や問題の可視化の向上。Cortex XSIAMを使用してデータ ソース数や取込みデータの総量を増やし、Unit 42 MDRのプロアクティブな脅威ハンティングを利用することで、同社の可視性は以前に比べて大幅に向上しています。
• 高品質なアラートと検出精度の向上。Cortex XSIAMでカスタム アラートやアラート調整が可能になり、チームではより高品質な情報を受け取っています。
• 大幅に向上したAIと分析機能。Cortex XSIAMに標準搭載されたカスタム分析により、同社はネットワークおよびエンドポイントのデータでさらに多くのことを実施できています。
• セキュリティ チーム全体の生産性と効率性の向上。成熟度の高い自動化、複数のプレイブックに加え、調査で得た見識や専門知識、Unit 42 MDRによる週7日、1日24時間体制の継続的監視により、チームでは、より短い時間でより多くのことを成し遂げられています。
• クラス最高レベルの脅威インテリジェンス。Cortex XSIAMに複数のフィードを取り込み、アラートと分析を強化することで、同社は潜在的な脅威アクターやリスクについて、幅広い見識を得ています。

同社は将来への備えも強化しています。Unit 42 Retainerを利用することで、ボイン社はプロアクティブな保護を継続し、重大インシデントが発生した場合には、同社の環境に精通した専門家が電話1本で、迅速に対応します。次に、ボイン社のチームは、インシデント レスポンス プロセスの改善と、現実的なセキュリティ シナリオと最新の脅威に関する有効性の向上のために、保護契約のクレジットをUnit 42の机上演習に使用することを計画しています。

セキュリティ チームは、パロアルトネットワークスのすべての製品とサービスがうまく連携して、同社のセキュリティ体制を改善していることに非常に満足しています。

パロアルトネットワークスと提携することで、ボイン社は、革新と成長を続ける中で、将来いかなる課題に遭遇しようとも、会社のセキュリティを保持するべく、これまで以上に体制を整えています。