ツールの乱立が問題をさらに深刻にしています。アラートは、チームがトリアージできるスピードを上回るペースで増え続けています。可視性のギャップが、実際の脅威を見えなくしています。そしてセキュリティチームは、脅威を検知して阻止するのではなく、時代遅れのセキュリティインフラの維持管理に追われています。
ゲーム、フィンテック、小売の組織は、従来のオンプレミス型 SIEM の負担を感じています。業界もチーム規模も環境も異なりますが、その影響は似ています。アラート疲労、ツールの乱立、そして自動化ではなく新たな作業を生み出すプラットフォームです。
では、SOC が最終的に、機能し、拡張可能な SIEM を導入した場合、何が起こるのでしょうか?セキュリティアナリストは、セキュリティ運用を自動化することで、重要なアラートの優先順位付け、インシデントの検出と対応の迅速化、そして日々の業務における生産性の向上を実現できます。
3 つの業界にわたる 3 社が、最新の AI 搭載クラウドネイティブ SIEM に移行し、その結果、可視性の向上とインシデント検出および対応の迅速化を実現しました。
従来の SIEM は最新の SOC の速度を低下させている
セキュリティリーダーの 55% が、セキュリティスタックにポイントソリューションが多すぎることに苦労しています。
ツールが分断されていると、チームの作業効率がすぐに低下し、燃え尽き症候群を引き起こす可能性があります。新たにセキュリティツールを追加するたびに、独自のアラートストリーム、ダッシュボード、そして学習曲線が生まれます。アナリストは手作業で点と点をつなぎ合わせることを強いられますが、誤検知を追いかけることに疲弊しすぎると、すぐに脅威を見落とすことにつながる可能性があります。
インテリジェントなセキュリティ運用への道は、基盤の見直しから始まります。
「以前は、6 つか 7 つのアラートをチェックする必要があり、そのうち 5 つは役に立たないものでした。」Sumo Logicでは、もはやそうではありません。チームの士気を高めるのに役立ち、メンバーはサービスの可能性を探求することに意欲的になっています。それによって、彼らは以前よりも優れた仕事ができるようになっています。」
– アルビン・リム、Endowus の情報セキュリティ責任者。
Cloud SIEM で SecOps を成熟させた 3 社
ゲーム:信頼性の低いログから 5 日間で完全な可視性へ
Patrianna の従来のセキュリティツールは、ログを確実に取り込んだり、Google でホストされている環境と統合したりすることができませんでした。Sumo Logic に切り替えた後、わずか 5 日以内に完全に稼働状態になりました。事前に設定されたダッシュボードを使用することで、ログインアクティビティ、ユーザー行動、地理的なアクセスパターンを把握することができました。
ログ管理にとどまらず、Patrianna は Sumo Logic を使用して「監視者を監視」しています。彼らは自社の SOC を監視し、アナリストがアラートにどのように対応しているか、またその対応の適時性について透明性を確保し、データや構成への不正な変更が発生しないことを、すべて一元化されたプラットフォームで確認できます。
小売業:ログ分析時間を 5 分から数秒に短縮
少人数のセキュリティチームにとって、オンプレミスの SIEM を手動で管理することは、負担が大きすぎる可能性があります。
小売業者 DXL が規模を拡大し、より多くのクラウドサービスを採用するにつれて、従来のセキュリティツールでは対応できなくなりました。手動による製品アップデートやストレージ容量の制限により、時折システムがダウンする事態が発生し、チームの作業速度が低下していました。
Sumo Logic への移行により、ログ分析時間が 5 分から数秒に短縮され、チームはリアルタイムの可視性を得ることができました。ある事例では、ログ相関分析によって、1 分間に 50~100 件のアクセス拒否エラーを発生させる設定ミスが特定されました。これは、以前の環境では全く検出されなかったであろう問題です。
「Sumo Logic に投げかけたもので、処理できなかったものは何もありませんでした。」技術スタックがどれほど単純であれ複雑であれ、必要なデータを取り込み、正規化し、報告してくれるため、私たちの業務が格段に楽になります。そして、これまで私たちが受けてきたサポートは、私がこれまで利用してきたどの製品とのパートナーシップにおいても、最高のもののひとつでした。」
— DXLのサイバーセキュリティおよびネットワーキング担当ディレクター、ジョン・サケッティ氏
FinTech:アラート調査時間を90%削減
ツールの乱立は、環境を完全に可視化することを妨げる可能性もあります。Endowusは、メールセキュリティとデータ損失防止のために複数のセキュリティソリューションを導入した結果、大量のアラートが発生しました。アナリストたちは、複数のダッシュボードにわたるアラートシステムを常に監視し、微調整する必要があったため燃え尽き、セキュリティ管理は複雑で時間のかかる作業となっていました。
Sumo Logic Cloud SIEMに統合した後、アラート調査時間を90%削減しました。良性のアラートはわずか5分から10分で解決できるため、チームは真の脅威に集中できるようになりました。Endowusはセキュリティ環境を包括的に把握できるようになり、これにより攻撃経路を追跡し、インシデントの根本原因を特定できるようになりました。さまざまなツールからのデータをSumo Logicに統合することで、被害が発生する前にフィッシング攻撃を早期に検知することができました。
現在は、UEBAとDojo AIを内蔵したSIEMにより、マルチエージェントのチームで調査を自動化し、ノイズを継続的に削減できます。
「しきい値を手動で調整しただけで、アラートの品質が向上しました。Sumo LogicのAI機能の可能性を探り、プロセスをより効率化できることを楽しみにしています。これらの機能により、セキュリティチームは潜在的な脅威を特定し、解決し、是正することが可能になります。私たちはカバレッジを拡大し、より早期に対処できるようにしたいと考えており、Sumo Logicが私たちの目標達成を確実にするためにこのような機能を開発していることを大変うれしく思います」とEndowusのLim氏は述べています。」
Dojo AIでSOCを自動化
Sumo LogicのCloud SIEMは、UEBA、Dojo AIエージェント、クラウドスケールのログ分析など、上記の事例からもわかるように、チームの作業効率を向上させます。サイロ化されたツール間でシグナルを手動でつなぐのではなく、コンテキストが付与され優先順位付けされたインサイトを得ることで、MTTRとMTTDを短縮し、アナリストの生産性を向上させます。
Patriannaはこの機能を利用して、「インポッシブルトラベル」(あり得ない移動)を検出し、認証情報の不正使用の可能性をリアルタイムで警告しました。Endowusは、この技術を活用して自動化とAIによるアラート管理をさらに強化できることを楽しみにしています。Sumo Logicのカスタマイズ可能なアラート管理機能を使用することで、リスク許容度に合わせて不審な活動を監視および調査することができます。Dojo AIの導入により、Endowusは検出と調査を自動化できるようになりました。
「強力なクエリ機能と直感的なAI統合、そしてMobotを組み合わせることで、不可能なことは何もありません。さらに、プラットフォーム内のノイズを自動的に削減できるため、必要な場所とタイミングで、より効率的にインサイトを得ることができます」とPatriannaのHewgill氏は述べています。
他のベンダーではなく、セキュリティパートナーと協力する
セキュリティの取り組みのどの段階にいても、アラート疲労、ツールの乱立、インフラストラクチャ管理は、ほとんどのセキュリティチームが直面する問題です。そして、旧式のSIEMシステムと格闘することは、さらに困難さを増します。
単なるセキュリティベンダーではなく、セキュリティ運用に合わせて拡張し、統合し、進化できるパートナーが必要です。
「Sumo Logicとの関係は素晴らしいものです。これにより、より小規模な範囲から事業を構築し、徐々に拡大していくことが可能になりました。この価格設定モデルは、実際に何を使うか正確にわかる前に過剰な契約を結びたくない、私たちのような小規模企業には最適です」とHewgill氏は述べています。」
SIEMが削減する作業よりも多くの作業を生み出している場合は、セキュリティスタックを見直す時期かもしれません。
Sumo Logicが御社のために何ができるかをご覧ください。デモを設定する。
