SPS CommerceがいかにしてSumo Logicからのセキュリティインサイトを活用し、サイバーセキュリティを向上させているか
一目でわかる結果
課題
サイバー脅威から守りつつ、成長し変化し続けるビジネスのペースに合わせることは困難でした。
広範なインフラストラクチャのサイバーセキュリティを管理するため、SPS Commerceは、内部のセキュリティオペレーションセンター(SOC)チームと、アラート監視を24時間365日体制で支援するマネージドサービスプロバイダーを含む、ハイブリッドな人員構成モデルを使用していました。
SPS CommerceのSOCおよびインシデント対応マネージャーであるNick Kemske氏は、「攻撃者は一度成功すれば良いのに対し、私たちのSOCチームは100パーセント成功し続けなければならないというのは、ある種の新理です。そのため、それらの脅威を検出して対応するための可視性とデータが本当に必要でした」と述べました。
ソリューション
社内のアタックサーフェス(攻撃対象領域)全体の可視性を得るため、SPS Commerceはすべてのデータソースへの中央アクセスを確保し、SOCチームに正確なセキュリティの可視性とインサイトを提供したいと考えていました。これにはSIEMソリューションへの投資が必要でした。
SOCチームの要件の一部として、環境を監視するために社内の他の部門が収集していたものと同じシステム、ログ、メトリクスを確認できるという付加価値を提供するソリューションを求めていました。インフラストラクチャチームがすでにオブザーバビリティのユースケースでプラットフォームを使用していたため、Sumo Logicは最適なソリューションでした。
Kemske氏は、「SIEMを選択する際、インフラストラクチャのパートナーが行っていることから離れすぎて独立したくないと考えていました。SIEMのニーズを含めるようにSumo Logicの利用を拡大することで、問題が発生した際により適切にチームと協力・連携する機会が得られます」と述べました。
「SIEMを選択する際、インフラストラクチャのパートナーが行っていることから離れすぎて独立したくないと考えていました。SIEMのニーズを含めるようにSumo Logicの利用を拡大することで、問題が発生した際により適切にチームと協力・連携する機会が得られます」
—Nick Kemske氏、SOCおよびインシデント対応マネージャー、SPS Commerce
結果
SOCのニーズをサポートするための迅速な導入と立ち上げ
インフラストラクチャチームがすでにSumo Logicプラットフォームを展開し、インフラデータソースから同社のログを収集していたため、SOCチームは導入作業において有利なスタートを切ることができました。プラットフォームのクラウドコレクターを使用することで、同社のCrowdStrikeやTenableソリューションといったセキュリティツールから追加のデータソースを統合するプロセスが、即座に利用可能な状態で進められました。
Kemske氏は、「Sumo Logicは、標準のセキュリティルールセットのようにアプリケーションにあらかじめ組み込まれているすべての機能を活用することで、簡単に使い始めることができます。プラットフォーム全体の仕組みに関する素晴らしいドキュメントが豊富にあるため、非常に迅速に習熟することができました」と述べました。
セキュリティテレメトリとインサイトの単一ソース
Sumo Logicが希望するすべてのログデータを取り込むことで、このソリューションは現在、SOCチームの信頼できるセキュリティデータソースとなっています。「セキュリティモニタリングはすべてSumo Logicで行っています。私のチームでは、セキュリティとすべてを監視することの重要性について、『すべてと言ったらすべて』 とよく言っています」(Kemske氏)
スイッチやルーターからAWSおよびAzureのログまで、すべてのテレメトリがSumo Logicに集約され、アラートのトリアージや、同社のインフラストラクチャ全体の脅威の相関分析が行われます。セキュリティ分析のためのデータソースのユースケースに基づき、SOCチームはSumo Logicの柔軟なデータ階層を活用して、Cloud SIEMが継続的に処理および分析すべきソースを指定しています。
統合された脅威インテリジェンスフィードにより、SOCチームはCloud SIEMの700以上の標準ルールとチーム独自のカスタムルールを活用して、充実した実用的なインサイトを取得しています。Kemske氏は、「それらすべてがCloud SIEM内で組み合わされ、私のチームの調査ワークフローが開始されます。本当に素晴らしく、シームレスなプロセスです」と述べました。
自動化とシングルビュー(単一画面)による迅速な調査
Cloud SIEMを採用する前、SOCチームの調査ワークフローは20の個別のシステムダッシュボードに依存しており、同社のフットプリント全体の全体像を繋ぎ合わせるには多大な時間と手作業が必要でした。Cloud SIEMの導入により、チームは環境内で何が起きているかを可視化できるようになりました。これはすべて、ツールを切り替える必要のない単一のコンソールから行えます。
Kemske氏は、「Cloud SIEMは、私たちの非常に型通りの手動プロセスから、より自動化されたプロセスへの移行を支えてくれました。これは可視性の向上と調査時間の短縮に非常に役立っています。また、Cloud SIEMから簡単にJIRAチケットを発行できるため、デリバリーチームやパートナーが期待する形で、より適切に連携できるようになりました」と説明しました。
